Add to collection(s) Add to saved
  1. No category

Семейство Windows Server 2003. Редакции 1. Windows Server 2003. является следующим шагом в

advertisement 
1.Семейство Windows Server 2003. Редакции
Windows Server 2003.
Windows Server 2003 является следующим шагом в
обновлении платформы и технологий Windows 2000.
В ней новые функции Active Directory, новые
средства, поддерживающие популярные, но сложные
объекты групповой политики (ОГП), улучшения
корпоративной защиты, усовершенствования Служб
терминалов (Terminal Services) и ряд других
расширенных возможностей новой ОС.
Windows Server 2003 предлагается в 32_разрядном,
64_разрядном и встроенном (embedded) вариантах.
Четыре редакции ОС, которые перечислены ниже в
порядке функциональности и, соответственно, цены:
• Windows Server 2003 Web Edition;
• Windows Server 2003 Standard Edition;
• Windows Server 2003 Enterprise Edition;
• Windows Server 2003 Datacenter Edition.
Редакция Web Edition. Усеченная, но вполне
функциональная редакция специально для Webслужб. Набор функций и лицензирование упрощают
развертывание Web-страниц, Web-узлов, Webприложений и Web-служб.
Windows Server 2003 Web Edition поддерживает 2 Гб
ОЗУ и двухпроцессорную симметричную обработку
(symmetric multiprocessor, SMP). Эта редакция
поддерживает неограниченное количество
анонимных Web_соединений, но только 10 входящих
соединений блока серверных сообщений (server
message block, SMB), и этого более чем достаточно
для публикации содержимого. Такой сервер не может
выступать в роли Интернет-шлюза, ,DHCP_ или
факс_сервера. Не может играть роль сервера
терминалов в традиционном понимании: он может
принадлежать домену, но не может быть его
контроллером. Прилагаемая версия Microsoft SQL
Server Database Engine поддерживает до 25
параллельных соединений.
Редакция Standard Edition. Надежный,
многофункциональный сервер, предоставляющий
службы каталогов, файлов, печати, приложений,
мультимедийные и Web_службы для небольших и
средних предприятий. Обширный (по сравнению с
Windows 2000) набор функций дополнен рядом
компонентов: MSDE (Microsoft SQL Server Database
Engine) — версией сервера SQL Server,
поддерживающего пять параллельных соединений к
БД размером до 2 Гб; службой РОРЗ , со службой
SMTP; полезным инструментом NLB (Network Load
Balancing). Поддерживает до 4 Гб ОЗУ и
четырехпроцессорную SMP-обработку.
Редакция Enterprise Edition. Мощная серверная
платформа для средних и крупных предприятий. К ее
корпоративным функциям относятся поддержка
восьми процессоров, 32 Гб ОЗУ, восьмиузловая
кластеризация, плюс совместимость с
64_разрядными компьютерами на базе Intel Itanium,
что позволяет поддерживать уже 64 Гб ОЗУ и
восьмипроцессорную SMP обработку.
Отличия Enterprise Edition от Standard Edition:
• поддержка служб MMS (Microsoft Metadirectory
Services), позволяющих объединять ,каталоги, БД и
файлы со службой каталогов Active Directory;
• «горячее» добавление памяти (Hot Add Memory) —
вы можете добавлять память в поддерживаемые
аппаратные системы без выключения или
перезагрузки;
• диспетчер системных ресурсов Windows (Windows
System Resource Manager, WSRM).
Редакция Datacenter Edition. Доступна только в
качестве OEM_версии, поддерживает практически
неограниченную масштабируемость: для 32
разрядных платформ — 32 процессорная SMP
обработка и 64 Гб ОЗУ, для 64 разрядных — 64
процессорная SMP обработка и 512 Гб ОЗУ.
Существует также версия, поддерживающая 128
процессорную SMP обработку на базе двух 64
процессорных секций.
64-разрядные редакции. По сравнению с
32_разрядными, 64_разрядные редакции Windows
Server 2003, работающие на компьютерах Intel
Itanium, эффективнее используют скорость
процессора и быстрее выполняют операции с
плавающей точкой. Улучшения в коде и обработке
существенно ускорили вычислительные операции.
Возросшая скорость доступа к огромному адресному
пространству памяти позволяет улучшить работу
сложных, требовательных к ресурсам приложений,
например приложений для работы с большими БД,
научно-исследовательских приложений и
подверженных высоким нагрузкам Web_серверов.
64_ разрядные редакции не поддерживают
16_разрядные Windows_приложения, приложения
реального режима, приложения POSIX и службы
печати для клиентов Apple Macintosh.
2. Установка и настройка Windows Server 2003.
Служба каталогов Active Directory.
• Установка с загрузочного компакт-диска. Windows
Server 2003 продолжает традицию установки с
компакт-диска. Установка с дискет больше не
поддерживается.
• Улучшенный графический пользовательский
интерфейс во время установки. Во время установки
Windows Server 2003 использует графический
пользовательский интерфейс (GUI), похожий на
интерфейс Windows XP. Он более точно описывает
текущее состояние установки и время, оставшееся
до ее завершения.
После установки и активации Windows можно
настроить сервер, используя хорошо продуманную
страницу, которая автоматически открывается при
входе в систему. Эта страница упрощает установку
некоторых служб, инструментов и конфигураций в
зависимости от роли сервера.
Настройка. Если установить переключатель Типовая
настройка для первого сервера (Typical Configuration
For A First Server), мастер сделает сервер
контроллером нового домена, установит службы
Active Directory и при необходимости службы DNS
(Domain Name Service), DHCP (Dynamic Host
Configuration Protocol) и RRAS (Routing And Remote
Access). Если установить переключатель Особая
конфигурация (Custom Configuration), мастер может
настроить следующие роли: Файловый сервер,
Сервер печати, Application Server IIS, ASP.NET, Mail
Server РОРЗ, SMTP, Сервер терминалов, Сервер
удаленного доступа или VPN_сервер, Контроллер
домена Active Directory, DNS Server , DHCP-сервер,
Сервер потоков мультимедиа, WINS_сервер.
Active Directory. Сети Microsoft Windows
поддерживают две модели служб каталогов: рабочую
группу (workgroup) и домен (domain). Для
организаций, внедряющих Windows Server 2003,
модель домена наиболее предпочтительна. Модель
домена характеризуется единым каталогом ресурсов
предприятия — Active Directory, — которому
доверяют все системы безопасности,
принадлежащие домену. Поэтому такие системы
способны работать с субъектами безопасности
(учетными записями пользователей, групп и
компьютеров) в каталоге, чтобы обеспечить защиту
ресурсов. Служба Active Directory, таким образом,
играет роль идентификационного хранилища и
сообщает «кто есть кто» в этом домене. Впрочем,
Active Directory — не просто база данных. Это
коллекция файлов, включая журналы транзакций и
системный том (Sysvol), содержащий сценарии входа
в систему и сведения о групповой политике. Это
службы, поддерживающие и использующие БД,
включая протокол LDAP (Lightweight Directory Access
Protocol), протокол безопасности Kerberos, процессы
репликации и службу FRS (File Replication Service).
БД и ее службы устанавливаются на один или
несколько контроллеров домена. Контроллер домена
назначается Мастером установки Active Directory,
который можно запустить с помощью Мастера
настройки сервера или командой DCPROMO из
командной строки.
3. Консоль управления ММС. Удаленное
управление компьютерами с помощью консоли
ММС.
Основное средство администрирования в Windows
Server 2003 — консоль ММС (Microsoft Management
Console) — предоставляет стандартный интерфейс
для одного или нескольких приложений, называемых
оснастками (snap-in), которые применяются для
конфигурирования. Консоли в рамках ММС (но не
сама ММС) — это и есть используемые вами
средства администрирования.
Консоль ММС — подобие Проводника Windows,
только с меньшим количеством кнопок.
Функциональные компоненты ММС содержатся в так
называемых оснастках: меню и панель инструментов
предоставляют команды для управления
родительскими и дочерними окнами, а сама консоль
(состоящая из оснасток) определяет требуемую
функциональность. Помимо этого, в зависимости от
ситуации консоль ММС можно сохранять с
различными параметрами и в разных режимах. В
каждой консоли имеется дерево, меню и панели
инструментов, а также панель подробных сведений.
Предусмотрено два типа оснасток: изолированные и
оснастки-расширения. Можно объединить одну или
несколько оснасток либо их составные части для
создания собственных консолей ММС.
Виды оснасток:
Изолированные оснастки создаются разработчиками
административного приложения.
Оснастки расширения, или просто расширения,
предназначены для работы совместно с одной или
несколькими изолированными оснастками на основе
их функциональности.
Режимы консолей:
Авторский режим. Когда вы сохраняете консоль в
авторском режиме (по умолчанию), то получаете
полный доступ ко всей функциональности ММС.
Пользовательские режимы:
Полный доступ - Позволяет перемещаться по
оснасткам, открывать окна и обращаться ко всем
узлам дерева консоли
Ограниченный доступ, несколько окон Пользователи не вправе открывать новые окна окон
или обращаться к узлам дерева, но могут
просматривать в консоли несколько окон.
Ограниченный доступ, одно окно - Пользователи не
вправе открывать новые окна или обращаться к
узлам дерева и могут просматривать в консоли
только одно окно.
Удаленное управление компьютерами с
помощью консоли ММС.
Чтобы с помощью консоли Управление
компьютером подключиться к другой системе и
управлять ею, необходимо запустить эту консоль на
удаленном компьютере под учетной записью с
административными реквизитами. В дереве консоли
щелкните правой кнопкой Управление компьютером
и выберите Подключиться к другому компьютеру.
4. Создание и управление объектами
пользователей. Создание нескольких объектов
пользователей.
Создать объект пользователя можно в консоли Active
Directory — пользователи и компьютеры. Хотя их
можно создавать в домене или в любом из
контейнеров по умолчанию, рекомендуется делать
это в ОП.
Чтобы создать объект пользователя, выберите
нужный контейнер, затем в меню Действие (Action)
щелкните Создать \Пользователь. (Для этого вы
должны быть членом групп Администраторы
предприятия , Администраторы домена или
Операторы учета , либо вам должны быть
делегированы административные полномочия)
Свойства пользователя при его создании:
Имя - имя. Необязат.
Инициалы - .... Необязат.
Фамилия - .... Необязат.
Полное имя - Обязательное поле. На основе
введенного здесь имени будут генерироваться CN,
DN, name и displayName.
Имя входа пользователя - Обязательное поле. Имя
участника-пользователя(UPN). Состоит из имени
пользователя для входа и суффикса UPN(по
умолчанию DNS). Имя должно быть уникальным в
лесу Active Directory. Можно использовать для входа
в 2000, xp, 2003.
Имя входа пользователя(пред 2000) - Обязательно,
должно быть уникальным в домене. Имя входа для
систем старше 2000.
Пароль - .... Обязательное
Подтверждение пароля - ... Обязательное
Требовать смену пароля при след входе в сис-му флаг, если установлен то юзер сменит пароль при
след входе.
Запретить смену пароля - флаг, полезен если
одной учеткой пользуются несколько человек.
Срок действия пароля неограничен - флаг, если
установлен то срок пароля не истекает.
Отключить учетную запись - флаг, запись будет
создана отключенной.
Создание нескольких объектов пользователей.
Можно создать общий объект пользователя, часто
называемый шаблоном, и копировать его, создавая
новые объекты пользователей. Для создания
объекта пользователя укажите нужный шаблон и в
меню Действие (Action) щелкните Копировать (Сору).
Вам потребуется задать некоторые свойства, как при
создании нового объекта пользователя: имя и
фамилию, инициалы, имя входа, пароль и параметры
учетной записи.
Импорт объектов пользователей при помощи
CSVDE
CSVDE — это средство командной строки,
позволяющее импортировать и экспортировать
объекты в Active Directory из/в файлов csv-формата.
Использование средств командной строки
Active Directory
Команда DSADD предназначена для создания
объектов в Active Directory. Для создания Объекта
пользователя ис-пользуйте команду DSADD USER.
Параметры DSADD позволяют настраивать
определенные свойства объекта.
dsadd user DN_пользователя...
Парамс: -samid имя_SAM; -upn UPN; -fn имя; -mi
инициал (отчество); -ln фамилия; -display
отображаемое_имя; -empid
идентификатор_сотрудника; -pwd {пароль | *}, где *
обозн. ввод пароля по запро-су; -desc описание; memberof DN_группы; -email
адрес_электронной_почты;
5. Управление профилями пользователей.
Профили пользователей
Профиль пользователя (user profile) — это набор
папок и файлов данных, содержащих элементы
среды рабочего стола конкретного пользователя.
Профиль состоит из:
• ярлыков в меню Пуск (Start), на рабочем столе и на
панели быстрого запуска;
• документов на рабочем столе и, если не настроена
переадресация, в папке Мои документы (My
Documents).
Локальные профили пользователей
По умолчанию профили пользователей хранятся
локально в папке %Systemdrive%\Documents and
Settings\%Username% и работают следующим
образом:
• Когда пользователь входит в систему впервые,
система создает для него профиль путем
копирования профиля Пользователь по умолчанию
(Default User). Имя для нового профиля формируется
на основе имени для входа, указанного при первом
входе в систему.
• Все изменения рабочего стола пользователя и
программной среды хранятся в локальном профиле
пользователя. Для каждого пользователя
существуют отдельные профили, поэтому все
параметры индивидуальны.
• Пользовательская среда расширена за счет
профиля Все пользователи (All Users), который
может включать ярлыки на рабочем столе или в
меню Пуск (Start), адреса компьютеров в сети и даже
данные приложений. Для создания среды
пользователя элементы профиля Все пользователи
(All Users) соединяются с профилем пользователя.
По умолчанию только члены группы
Администраторы (Administrators) могут
модифицировать профиль Все пользователи (All
Users).
• Профиль является локальным в полном смысле.
Если пользователь входит в другую систему,
документы и параметры, являющиеся частью его
профиля, не перемещаются. Вместо этого, когда
пользователь впервые входит в систему, она
генерирует для него новый локальный профиль.
Перемещаемые профили пользователей
Если пользователь работает на нескольких
компьютерах, вы можете настроить перемещаемый
профиль пользователя (roaming user profile, RUP),
чтобы гарантировать сохранность и неизменность
его документов и параметров вне зависимости от
того, в какую систему он входит. RUP хранит
профили на сервере, а значит, их можно
архивировать, проверять на наличие вирусов и
централизованно управлять ими. Даже в среде, где
пользователи не перемещаются, RUP обеспечивает
сохранность важной информации. Если система
пользователя дала сбой и ее необходимо
переустановить, RUP гарантирует, что новая
пользовательская среда будет идентичная
предыдущей. Чтобы настроить RUP, создайте общую
папку на сервере. В идеальном случае это должен
быть файловый сервер, на котором часто проводится
архивирование.
Команда dsmod.
6. Учетные записи групп. Управление учетными
записями групп.
Группы (groups) — это контейнеры, содержащие
объекты пользователей и компьютеров. Если
разрешения безопасности для группы заданы в
таблице управления доступом для некоего ресурса,
то их получают все члены группы. Группы
безопасности (security groups) используют для
назначения разрешений доступа к сетевым
ресурсам. Группы распространения (distribution
groups) применяются для объединения
пользователей в списки рассылки электронной
почты. Хотя в таблицах ACL можно задавать
параметры для отдельных участников безопасности
(пользователей и компьютеров), эта практика должна
быть скорее исключением из общего правила. Если
вы обнаружите, что задаете в ACL слишком много
исключений для пользователя какой-либо группы,
пересмотрите его членство в этой группе.
Функциональные уровни доменов
В Windows Server 2003 доступны четыре
функциональных уровня домена:
• Смешанный режим Windows 2000. Поддерживает
контроллеры доменов Windows NT 4/2000 и Windows
Server 2003.
• Основной режим Windows 2000. Поддерживает
контроллеры доменов Windows 2000 и Windows
Server 2003.
• Промежуточный режим Windows Server 2003.
Поддерживает контроллеры доменов Windows 4 и
Windows Server 2003.
• Windows Server 2003. Поддерживает контроллеры
доменов Windows Server 2003.
Область действия группы
Область действия группы (group scope)
определяет, каким образом участникам группы
назначаются разрешения.
Локальные группы (local groups), или локальные
группы компьютеров, используются в основном для
обратной совместимости с Windows NT 4. На
компьютерах с Windows Server 2003 существуют
локальные пользователи и группы,
сконфигурированные как рядовые серверы.
Контроллеры доменов не используют локальные
группы.
• Локальные группы могут содержать участников из
любого домена в пределах леса, из доверенных
доменов в других лесах и более низкого уровня.
• Локальная группа действует в пределах конкретного
компьютера и может предоставлять разрешения для
ресурсов только на этом компьютере.
Локальные группы домена (domain local groups)
главным образом используются для назначения
глобальным группам разрешений на доступ к
локальным ресурсам домена.
Характерные черты локальных групп домена таковы:
• Существуют во всех режимах работы доменов и
лесов — смешанном, промежуточном и основном.
• Доступны в пределах всего домена только в
доменах основного режима Windows 2000 или
доменах Windows Server 2003. Локальная группа
домена функционирует подобно локальной группе на
контроллере домена, пока домен работает в
смешанном режиме.
• Могут содержать участников из любого домена в
пределах леса, из доверенных доменов в других
лесах и более низкого уровня.
• Действуют в пределах домена в основном режиме
Windows 2000 и режиме Windows Server 2003 и могут
использоваться для предоставления прав на ресурсы
на любом компьютере с Windows Server 2003 в том
домене, где определена группа.
Глобальные группы (global groups) чаще
используются для предоставления
категоризированного членства в локальных группах
доменов для отдельных участников безопасности и
для прямого назначения разрешений. Часто
глобальные группы применяются для объединения
пользователей или компьютеров в одном домене и
совместного исполнения одной работы, роли или
функции. Характеристики глобальных групп таковы.
• Существуют во всех режимах работы доменов и
лесов — смешанном, промежуточном и основном.
• Могут содержать только членов из своего домена.
• Могут сами являться членами локальной группы
компьютера или домена.
• Могут получать разрешения в любом домене,
включая доверенные домены в других лесах и
домены пред-Windows 2003.
• Могут содержать другие глобальные группы, но
только в домене, работающем в основном режиме
Windows 2000 или в режиме Windows Server 2003.
Универсальные группы (universal groups) в основном
применяют для предоставления доступа к ресурсам
во всех доверенных доменах. Однако такие группы
могут использоваться только как участники
безопасности (то есть как группы безопасности) в
доменах, работающих в основном режиме Windows
2000 или в режиме Windows Server 2003.
• Универсальные группы могут содержать участников
из любого домена в лесу.
• В домене основного режима Windows 2000 или
режима Windows Server 2003 универсальным
группам могут предоставляться разрешения в любом
домене, включая доверенные домены в других лесах.
Универсальные группы помогают представить и
объединить группы, которые распределены по
разным доменам и выполняют типичные функции в
рамках вашей организации. Рекомендуется делать
универсальными широко используемые и редко
изменяемые группы.
7. Учетные записи компьютеров.
Учетная запись компьютера, как и учетная запись
пользователя, содержит имя, пароль и
идентификатор безопасности (security identifier,
SID). Эти свойства встроены в класс объекта
компьютера в Active Directory.
Создание учетных записей компьютеров
Для создания объекта компьютера в Active Directory
необходимо быть членом групп Администраторы
(Administrators) или Операторы учета (Account
Operators) на контроллерах домена.
Каждому пользователю из группы Прошедшие
проверку (Authenticated Users) (то есть всем
пользователям) разрешается присоединять к домену
до 10 компьютеров и, следовательно, создавать до
10 объектов компьютеров.
Команда dsmod.
Как пересоединенить компьютер к
домену?
8. Файлы и папки. Настройка разрешений
файловой системы.
Серверы Windows поддерживают детализированный
механизм управления доступом к файлам и папкам
— разрешения NTFS. Разрешения доступа к
ресурсам хранятся в виде записей управления
доступом (access control entries, АСЕ) в таблице
ACL, которая является частью дескриптора
безопасности каждого ресурса. При обращении к
ресурсу маркер безопасности доступа пользователя,
содержащий идентификаторы защиты (security
identifier, SID) учетной записи пользователя и групп,
членом которых тот является, сравнивается с
идентификаторами SID в АСЕ-записях таблицы ACL.
Этот процесс авторизации практически не изменился
со времен Windows NT. Тем не менее, детали
реализации авторизации, средства управления
доступом к ресурсам и специфика настройки доступа
изменялись с каждой версией Windows.
Настройка разрешений
Проводник Windows является наиболее
распространенным средством управления
разрешениями доступа к ресурсам, как на локальном
томе, так и на удаленном сервере. В отличие от
общих папок, Проводник позволяет настраивать
разрешения локально и удаленно.
Редактор таблицы управления доступом
Как и в предыдущих версиях Windows, для настройки
безопасности файлов и папок на любом томе NTFS
нужно щелкнуть ресурс правой кнопкой, в
контекстном меню выбрать Свойства (Properties)
[или Общий доступ и безопасность (Sharing And
Security)] и перейти на вкладку Безопасность
(Security). Открывшееся диалоговое окно может
называться по-разному: Разрешения (Permissions),
Параметры безопасности (Security Settings),
вкладка Безопасность (Security) или Редактор
таблицы управления доступом (редактор ACL).
Независимо от названия оно выглядит одинаково
До появления Windows 2000 разрешения были
довольно простыми, но в Windows 2000 и
последующих версиях Microsoft предоставила более
гибкие и мощные способы управления доступом к
ресурсам. Мощь добавила сложности, и теперь
редактор ACL состоит из трех диалоговых окон.
Первое диалоговое дает общую картину настроек
безопасности и разрешений для ресурса и позволяет
выбрать отдельную учетную запись, для которой
определен доступ, чтобы просмотреть шаблоны
разрешений, назначенные этому пользователю,
группе или компьютеру. Каждый шаблон в этом окне
— совокупность разрешений, которые вместе
обеспечивают некий типичный уровень доступа.
Например, чтобы пользователь мог прочитать файл,
необходимо предоставить несколько разрешений
низкого уровня. Чтобы скрыть эту сложность, вы
можете применить шаблон Чтение и выполнение
(Read & Execute), а ОС сама настроит нужные
разрешения доступа к файлу или папке.
Чтобы более подробно изучить данную таблицу ACL,
щелкните кнопку Дополнительно (Advanced),
откроется второе окно редактора ACL —
Дополнительные параметры безопасности для
Docs (Advanced Security Settings For Docs) Здесь
перечислены конкретные записи управления
доступом, назначенные данному файлу или папке.
Сведения в этом перечне максимально приближены
к реальной информации, которая хранится в самой
таблице ACL. Второе диалоговое окно позволяет
также настраивать аудит, управлять правами
владения и определять действующие разрешения.
9. Понятие IIS. Администрирование служб IIS.
Для снижения риска атаки на системы Windows
Server 2003 служба IIS по умолчанию не
устанавливается. Ее нужно добавить с помощью
мастера Установка компонентов Windows
(Add/Remove Windows Components) из приложения
Установка и удаление программ (Add Or Remove
Programs) в Панели управления. Щелкните Сервер
приложений (Application Server), затем Состав
(Details) и установите флажок напротив Службы IIS
[Internet Information Services (IIS)]. Мастер
позволяет управлять установкой отдельных
компонентов IIS,
При установке IIS создается стандартный Web-узел,
позволяющий легко и быстро реализовать Webсреду, которую затем можно изменить. Windows
Server 2003 содержит средства управления службой
IIS и ее узлами.
После завершения установки откройте консоль
Диспетчер служб IIS [Internet Information Services
(IIS) Manager] из группы программ
Администрирование (Administrative Tools). По
умолчанию службы IIS настроены на работу только
со статическим содержимым. Чтобы активировать
динамическое содержимое, выберите узел
Расширения веб-службы (Web Service Extensions).
Изначально все расширения отключены Выберите
нужное расширение и щелкните кнопку Разрешить
(Allow).
Настройка и управление Web- и FTP-узлами
При установке IIS настраивается единственный
Web_узел — Веб_узел по умолчанию (Default Web
Site). Хотя IIS в зависимости от аппаратной
конфигурации сервера может хранить тысячи или
десятки тысяч узлов, даже стандартный Веб-узел по
умолчанию позволяет изучить функции и способы
администрирования Web-узлов средствами IIS.
Чтобы обратиться к этому Web-узлу, откройте
обозреватель и введите http://server01.contoso.com.
Будет отображена страница В процессе разработки
(Under Construction).
FTP-узел — FTP-узел по умолчанию (Default FTP
Site) — и настраивает его, чтобы тот отвечал на все
входящие FTP-запросы, поступающие на порт 21.
FTP-узел возвращает клиенту список файлов в
папке, указанной на вкладке Домашний каталог
(Ноте Directory). FTP-узлы также могут содержать
виртуальные каталоги, например запросы по
адресам ftp://server01.contoso.com/pub и
ftp://server01.contoso.com/vendor_uploads могут
возвращать ресурсы с разных серверов. Служба FTP
не поддерживает документы по умолчанию.
Защита файлов в IIS
Защиту файлов, к которым обращаются через IIS,
можно разделить на несколько категорий: проверка
подлинности, авторизация через NTFS-разрешения и
IIS-разрешения. Проверка подлинности — это
процесс анализа реквизитов, предоставленных в
форме имени пользователя и пароля. По умолчанию
все запросы к IIS выполняются от имени
пользователя с учетной записью IUSR-имякомпьютера. Прежде чем ограничивать доступ
пользователей к ресурсам, необходимо создать
локальные или доменные учетные записи и
настроить проверку более высокого уровня, чем
стандартная анонимная проверка подлинности.
Настройка методов проверки подлинности
Варианты проверки подлинности средствами
Web
• Анонимная проверка подлинности. Пользователи
могут получить доступ к открытой области Web-узла,
не указывая имя пользователя и пароль.
• Обычная проверка подлинности. Требует, чтобы
у пользователя была локальная или доменная
учетная запись. Реквизиты передаются открытым
текстом.
• Краткая проверка подлинности. Аналог обычной
проверки с дополнительной защитой передаваемых
по сети реквизитов пользователя. Краткая проверка
подлинности полагается на протокол HTTP 1.1.
• Расширенная краткая проверка подлинности.
Работает, только когда учетная запись пользователя
хранится в Active Directory. Подразумевает
получение и хранение реквизитов пользователей на
контроллере домена. Расширенная краткая проверка
требует, чтобы пользователь работал с Internet
Explorer версии 5 или выше по протоколу HTTP 1.1.
• Встроенная проверка подлинности Windows.
Получает информацию посредством безопасной
формы проверки подлинности (иногда называемой
проверкой Windows NT типа «запрос-ответ»), при
которой имя пользователя и пароль хэшируются
перед передачей по сети.
• Проверка подлинности по сертификату.
Добавляет защиту SSL (Secure Sockets Layer),
благодаря использованию сертификатов сервера,
клиента или обеих сторон. Этот вариант доступен,
только когда на компьютере установлены и
настроены Службы сертификации (Certificate
Services).
• Проверка подлинности в системе .NET Passport.
Предоставляет единую службу входа через SSL,
перенаправление HTTP, файлы cookies, Microsoft
JScript и стойкое шифрование симметричным
ключом.
Варианты проверки подлинности средствами FTP
• Анонимная проверка подлинности. Пользователи
могут получить доступ к открытой области FTP_узла,
не указывая имя пользователя и пароль.
• Обычная проверка подлинности. Требует, чтобы
пользователь ввел имя и пароль, которые
соответствуют действительной учетной записи
Windows.
Настройка доступа к ресурсам с помощью
разрешений
Когда проверка подлинности настроена, назначают
разрешения доступа к файлам и папкам. Разрешения
NTFS — наиболее распространенный способ
управления доступом к ресурсам через IIS.
10. Основы архивации данных.
Данные содержащиеся в компьютере зачастую
являются более дорогими, чем сам компьютер. В
случаях различных сбоев, когда невозможно
восстановить эти данные, это может привести (и
часто приводит) к полному краху компаний,
потерявших свои данные.
Наиболее дешевым вариантом защиты данных от
утери в результате аварии является их
архивирование.
Но использование архивов возможно не только для
восстановления данных после аварии, но и для
переноса больших количеств информации с одного
компьютера на другой, а также в случае, если вам
необходимо реорганизовать файловые системы на
диске и какая-нибудь файловая система может быть
удалена с вашего диска и затем перемещена в
другое место.
Удобно архивы использовать для установки
программного обеспечения на аналогичные
компьютеры или для быстрой его переустановки
(создав образ системы).
Типы архивации :
Обычная
Добавочная
Разностная
11. Восстановление данных.
Восстановление данных подразумевает процесс
извлечения данных из архива созданного ранее. В
общем случаем под восстановлением данных можно
подразумевать процесс обратный архивации.
Восстановление данных — довольно простая
процедура. Программа Архивация данных позволяет
выбрать набор архивации, с которого нужно
восстановить данные. Затем Windows Server 2003
отображает список файлов и папок из набора
архивации. Вы можете выбрать отдельные файлы
или папки, которые следует восстановить; синий
флажок указывает, что файл или папка будут
восстановлены целиком, затененный — что будет
восстановлена только часть содержимого папки.
Чаще для проверки процедур архивации и
восстановления администраторы выполняют
тестовое восстановление набора архивации. Чтобы
предотвратить повреждение данных, файлы
восстанавливают не в исходное размещение, а в
другую папку, которую можно удалить после теста. В
производственной среде следует проверить
восстановление архива на резервном сервере (перед
этим убедитесь, что устройство архивации
(допустим, ленточный накопитель) правильно
установлено на сервере, который будет хранить
данные при отказе основного сервера).
12. Принтеры. Установка и настройка.
Расширенны возможности управления
принтерами.
Windows Server 2003 и все предыдущие версии
поддерживают два типа принтеров.
Локально подключенные принтеры — принтеры,
подключенные к физическому порту сервера печати,
обычно к USB или параллельному порту. Сетевые
принтеры — принтеры, подключенные к сети, а не к
физическому порту. Логический принтер задает
характеристики и поведение принтера.
Предусмотрено два способа реализации печати на
сетевые принтеры. Один из них — установить
логические принтеры на всех компьютерах и
подключить их напрямую к сетевому принтеру.
Второй вариант предполагает использование
трехсторонней модели: собственно физический
принтер, размещенный на сервере печати,
логический принтер плюс клиенты печати,
подключенные к логическому принтеру сервера.
Использование сервера печати дает следующие
преимущества:
• логический принтер на сервере печати определяет
параметры принтера и управляет его драйверами;
• логический принтер создает одну очередь печати,
доступную для просмотра на всех клиентских
компьютерах, поэтому пользователи могут видеть
свои задания печати в общей очереди;
• сообщения об ошибках, отправляются всем
клиентам;
• приложения и драйверы печати перекладывают с
клиентского компьютера часть нагрузки.
• функции безопасности, аудита, мониторинга и
ведения журнала централизованы.
Установка принтера в Windows Server 2003
• Локальный или сетевой принтер. В ходе
настройки принтера на компьютере Windows Server
2003 термины «локальный принтер» и «сетевой
принтер» имеют несколько иные от общепринятых
значения. Локальный принтер — это логический
принтер, обслуживающий принтер, подключенный
напрямую к серверу, либо изолированный
подключенный к сети принтер. Сетевой принтер —
это логический принтер, подключающийся к
принтеру, напрямую подсоединенному к другому
компьютеру, либо к принтеру, управляемому другим
сервером печати.
• Выбор порта принтера.
• Установка программного обеспечения принтера.
• Имя принтера и имя общего ресурса.
Управление безопасностью принтера Windows
Server 2003 позволяет контролировать
использование и администрирование принтера путем
назначения разрешений на вкладке Безопасность
(Security) в окне его свойств. Вы можете назначать
разрешения на использование и администрирование
принтера или документов, обрабатываемых
принтером (через ACL).
Расписание работы принтера Одна из важных и
любопытных характеристик — график работы
принтера. Расписание работы логического принтера
определяет, когда задание освобождается из
очереди и отправляется на физический принтер.
Настройка пула принтеров Пул принтеров — это
один логический принтер, обслуживающий несколько
физических, подключенных к серверу и/или к сети.
Когда создан пул принтеров, документы
пользователей отправляются на первый свободный
принтер.
Настройка нескольких логических принтеров для
обслуживания одного принтера. Хотя пул
принтеров — это один логический принтер,
обслуживающий несколько портов , обратная
структура более типична и мощна: несколько
логических принтеров, обслуживающих один порт
(или принтер). Создав несколько логических
принтеров, направляющих задания на один
физический принтер, вы можете настраивать
различные свойства, параметры печати по
умолчанию, параметры безопасности, аудит и
мониторинг для каждого логического принтера.
Помните, что пул принтеров — это один логический
принтер, обслуживающий несколько портов. Все
остальные сочетания в стандартной структуре
«клиент печати — сервер печати — принтер»
получаются в результате создания нескольких
логических принтеров, обслуживающих один порт.
Интеграция принтеров Windows Server 2003 с
Active Directory Подсистема печати Windows Server
2003 тесно интегрирована с Active Directory, упрощая
пользователям и администраторам поиск и
подключение к принтерам в организации. Когда на
сервер печати Windows Server 2003 добавляется
логический принтер, он автоматически публикуется в
Active Directory.
Печать через Интернет Благодаря протоколу IPP
(Internet Printing Protocol) Windows Server 2003
поддерживает дополнительный набор функций,
позволяющий пользователям подключаться к
принтерам и передавать задания печати по
инкапсулированному протоколу HTTP.
Использование и управление интернетпринтерами Использование браузера для
управления принтерами дает несколько
преимуществ:
• позволяет администрировать принтеры с любого
компьютера, где имеется Web-браузер,
независимо от наличия на нем Windows Server 2003
или драйверов данного принтера;
• позволяет настраивать интерфейс. Например, вы
можете создать собственную Web-страницу с
архитектурным планом, где указаны места
размещения принтеров и даны ссылки на них;
• выдает сводную страницу с перечнем состояния
всех принтеров на сервере печати;
• функция интернет-печати может сообщать данные
о состоянии печатающего устройства в реальном
времени, например, находится ли принтер в режиме
энергосбережения, если драйвер принтера дает
такие сведения. Эта информация недоступна из окна
Принтеры и факсы (Printers And Faxes).
13. ИС и их классификация.
Инф-выч система – комплекс программных и
аппаратных средств для обеспечения автоматизации
производства и служащий и служащий для других
сфер деятельности человека.
ИВС включает в себя серверное и сетеобразующее
оборудование.
Пользователь ИВС – физическое лицо, имеющее
определенный доступ к ресурсам ИВС. Он
идентифицируется учетной записью.
Админ ИВС – должн лицо ответств за
работоспособность и надлежащее функ всех частей
ИВС
У админа большой ИВС в подчинении находятся
админы частей ИВС и подчастей.
Аутидентификация – процесс установления
подлинности пользователя ИВС.
Ресурсы ИВС - физ и логические объекты ИВС,
имеющ определенную функциональность(сервер..)
Аудит – контроль использования ресурсов. Вкл в
себя возможнь ведения журнала попыток доступа к
ресурсам.
Авторизация – проверка прав доступа
Основные части ИВС
-выч установка - служит для выполн основных выч
задач
-кабельное оборудование – предс собой физ среду,
связ друг с другом выч установки и другие части
-каналообразующее оборудование
-сетеобразующее оборудование
-переферийное – обор, расшир функц возможности
выч установок(монитор, клава, мышь…)
-дополнительное - оборуд необх для более эффект
и надежной работы основного оборудования (ибп,
анализаторы сетей, датчики сост окр среды)
По масштабу информационные системы
подразделяются на следующие группы:
· одиночные;
· групповые;
· корпоративные.
Одиночные информационные системы реализуются,
как правило, на автономном персональном
компьютере (сеть не используется). Такая система
может содержать несколько простых приложений,
связанных общим информационным фондом, и
рассчитана на работу одного пользователя или
группы пользователей, разделяющих по времени
одно рабочее место.
Групповые информационные системы
ориентированы на коллективное использование
информации членами рабочей группы и чаще всего
строятся на базе локальной вычислительной сети.
При разработке таких приложений используются
серверы баз данных (Называемые также SQLсерверами) для рабочих групп.
Корпоративные информационные системы являются
развитием систем для рабочих групп, они
ориентированы на крупные компании и могут
поддерживать территориально разнесенные узлы
или сети. В основном они имеют иерархическую
структуру из нескольких уровней. Для таких систем
характерна архитектура клиент-сервер со
специализацией серверов или же многоуровневая
архитектура. При разработке таких систем могут
использоваться те же серверы баз данных, что и при
разработке групповых информационных систем.
Однако в крупных информационных системах
наибольшее распространение получили серверы
Oracle, DB2 и Microsoft SQL Server.
Классификация по сфере применения
По сфере применения информационные системы
обычно подразделяются на четыре группы:
· системы обработки транзакций;
· системы принятия решений;
· информационно-справочные системы;
· офисные информационные системы.
Системы обработки транзакций, в свою очередь, по
оперативности обработки данных, разделяются на
пакетные информационные системы и оперативные
информационные системы. В информационных
системах организационного управлений преобладает
режим оперативной обработки транзакций, для
отражения актуального состояния предметной
области в любой момент времени, а пакетная
обработка занимает весьма ограниченную часть.
Системы поддержки принятия решений — DSS
(Decision Support Systeq) — представляют собой
другой тип информационных систем, в которых с
помощью довольно сложных запросов производится
отбор и анализ данных в различных разрезах:
временных, географических и по другим
показателям.
Обширный класс информационно-справочных систем
основан на гипертекстовых документах и
мультимедиа. Наибольшее развитие такие
информационные системы получили в сети
Интернет.
Класс офисных информационных систем нацелен на
перевод бумажных документов в электронный вид,
автоматизацию делопроизводства и управление
документооборотом.
Систему искусственного интеллекта, построенную на
основе высококачественных специальных знании о
некоторой предметной области (полученных от
экспертов - специалистов этой области), называют
экспертной системой. Экспертные системы (ЭС) - это
компьютерные программы, созданные для
выполнения тех видов деятельности, которые под
силу человеку-эксперту.
14. Обслуживание операционной системы.
Службы обновления ПО. Лицензирование.
Windows Update — программа автоматического
обновления Windows. В версиях начиная с Windows
2000 запускается из файла wuauclt.exe (папка
system32 системной директории). Утилита не
является критической для системы, но при
отключении операционная система настоятельно
рекомендует включить этот сервис соответствующим
сообщением («Безопасность компьютера может быть
под угрозой» на Windows XP). Отключение может
уменьшить количество интернет-трафика и снизить
нагрузку на процессор, но операционная система
может стать уязвимой для злоумышленников и
неустойчивой в работе (из-за ошибок при
разработке). В Windows 7 есть возможно загружать
не только обновления для Windows, для Microsft
Office, Windows Live и т.д.
Утилита для получения обновлений обращается на
официальный сервер за последними обновлениями и
в зависимости от настроек либо скачивает и
устанавливает их без подтверждения пользователя
либо предоставляет для выбора доступные
обновления.
Также утилита может быть перенастроена на
получение обновлений с локального сервера (см.
Windows Server Update Services)
Лицензирование — процесс выдачи специального
разрешения (лицензии).
15. Управление оборудованием и драйверами.
Установка оборудования и драйверов.
Технология Plug and Play в Windows обеспечивает
автоматическое определение и настройку нового
оборудования. Но если оборудование не
поддерживает Plug and Play или не обнаруживается
автоматически, следует ввести сведения о новом
оборудовании вручную и установить устройство с
помощью Мастера установки оборудования, который
также позволяет устранять неполадки
существующего оборудования.
Если устройство уже установлено в Windows, то
инструмент, который позволит настроить его - Device
Manager. Этот инструмент позволяет получить
информацию об интересующем устройстве
несколькими различными путями. Для примера, вы
хотите видеть устройства по их типу (CD-ROM,
Монитор и т.д.) или по используемым ресурсам (IRQ,
DMA и так далее), или по шине, которая нумерует их.
За управление аппаратными устройствами
компьютера (процессором, памятью, дисководами и
устройствами ввода-вывода) отвечают служебные
программы - операционная система и драйверы
(driver). Драйвер "переводит" команды ОС в
конкретные команды, понятные устройству. К
большинству устройств производители пишут свои
драйвера и прилагают к устройству на диске. Для
повышения безопасности ОС такие драйвера
тестируются и проверяются на совместимость с
Windows в Microsoft, которая снабжает драйвера
своей цифровой подписью, хотя производители
могут визировать и своей подписью. Драйвера для
наиболее распространенных устройств, например,
для контроллера IDE, разработчики ОС добавляют в
дистрибутивы. Каждый драйвер для Windows состоит
из нескольких файлов и обычно хранится в
каталогах: SYSTEM или SYSTEM32 или в их папках.
Ядро драйвера хранится в файлах с расширениями:
*.vxt , *.drv , *.sys и некоторых других, а
дополнительные процедуры в динамические
библиотеки *.dll .
Как установить драйвер?
1. с помощью инсталлятора.
2. вручную
Не выбирайте автоматический поиск, а
воспользуйтесь самостоятельным выбором
оборудования.
В списке "Изготовитель-Модель" выберите нужно
устройство, если оно там есть и установите драйвер
из Windows. Если в списке нет такого устройства или
вы хотите установить драйвер из скаченного файла,
то нажмите "Установить с диска" и найдите нужный
INF-файл и драйвер будет установлен.
Как удалить драйвер?
Если драйвер оказался "неудачным", то его можно
удалить через "Диспетчер устройств", щелкнув по
подлежащему удалению устройству.
16. Управление оборудованием и драйверами.
Настройка оборудования и драйверов.
Бывает, что вы установили нужный драйвер, а
устройство все равно не заработало и в "Диспетчере
устройств" висит значок: восклицательный знак в
желтом кружочке.
Такое случается, когда новое устройство пытается
использовать системные ресурсы, занятые уже
имеющимися устройствами, это называется конфликтом устройств.
Под системными ресурсами обычно понимают
области памяти, порты ввода/вывода, запросы
прерываний и каналы прямого доступа к памяти.
Количество этих ресурсов ограничено, и поэтому
устройства могут из-за них конфликтовать.
В современных ОС реализована технология
автоматического управления системными ресурсами,
которая вошла в стандарт Plug&Play (включай и
работай). Соответствующий пункт есть в BIOS,
включив который, сообщается компьютеру, что
используется ОС поддерживающую эту технологию.
Если распределение ресурсов полностью отдается
Windows, нужно установить галку "Ресурсы" "Автоматическая настройка". Plug&Play иногда не
справляется со своей задачей, вам необходимы
минимальные знания об основных типах системных
ресурсов. Их можно посмотреть: "Перечень
ресурсов" - "Ресурсы" в окне свойств устройства.
Итак, при конфликте ресурсов нужно выполнить
следующие действия:
- В "Диспетчере устройств" щелкнуть мышью по
проблемному устройству, откроется окно его свойств.
- Снять галку в "Автоматическая настройка",
щелкнуть по кн. "Изменить".
- Выберите другое значение в списке
"Конфигурация". Если конфликт не устранен или
возник другой, выберите следующий пункт в этом
списке. Если значок ресурса изменился на
нормальный, то конфликт разрешен. Щелкните "ОК",
закройте окна и перезагрузите компьютер.
- Если в списке не нашлось нужной конфигурации,
продолжаем ручную настройку. Например, конфликт
по IRQ, открываем окно "Изменение запроса на
прерывание", перебором значений добиваемся
исчезновения сообщения о конфликте в окне
"Сведения о конфликте", далее - "ОК", еще раз "ОК",
закрываем окна, перезагружаем компьютер.
Сориентироваться в разнообразии информации о
вашей системе, о драйверах и занятых системных
ресурсах вам может помочь утилита "Сведения о
системе" (Msinfo32), входящая в поставку Windows.
1. В дереве консоли Computer Management
(Управление компьютером) раскройте узел System
Tools (Служебные программы), чтобы вывести список
расположенных в нем инструментов,
2. Выберите Device Manager (Диспетчер устройств). В
правой панели отображается установленных в
системе список устройств, по умолчанию
упорядоченный по типам устройств.
3. Щелкнув правой кнопкой нужное устройство,
выберите в контекстном меню команду Update Driver
(Обновить драйвер). Откроется окно мастера
обновления оборудования (Hardware Update Wizard).
4. Драйверы устанавливаются автоматически или
вручную — из списка или путем указания пути к
файлам драйвера.
5. При автоматической установке драйверов Windows
XP пытается обнаружить самую свежую версию
драйвера устройства и автоматически ее
устанавливает. Если более новой версии найти не
удается, система оставляет текущий драйвер.
6. В случае установки драйвера вручную
предоставляется два варианта указания драйвера:
• Search for the best driver in these locations— мастер
проверит наличие нужного драйвера в системной БД
драйверов и всех указанных местоположениях,
например на дискете или компакт-диске. В этом
варианте обычно отображается полный список
подходящих драйверов.
Don't search. I will choose the driver to install (He
выполнять поиск. Я сам выберу нужный драйвер) если вы решили установить драйверы
самостоятельно, в следующем окне мастера
отобразится список совместимого оборудования и
список рекомендованных для него драйверов. Если в
списке есть нужный драйвер, просто выберите его,
если нет - сбросьте флажок Show compatible
hardware, и будет выведен список производителей, в
котором надо найти нужного производителя и
выбрать подходящий драйвер в поле Models.
7. Выбрав драйвер при помощи автоматического
поиска или вручную, щелкните кнопку Next (Далее),
чтобы продолжить процесс установки. По
завершении установки драйвера щелкните кнопку
Finish (Готово). Иногда для активизации нового или
обновленного драйвера нужно перезагрузить
систему.
17. Управление оборудованием и драйверами.
Устранение неполадок оборудования и
драйверов.
Если оборудование, установленное на компьютере
или присоединенное к нему, не работает
надлежащим образом, это часто результат
неполадок с драйвером.
Неполадки могут возникнуть в результате установки
обновления, вызвавшей прекращение работы
драйвера. Или после установки нового оборудования
его драйвер оказывается несовместимым или
поврежденным, или же драйвер не был установлен.
Возможно, драйвер был поврежден по неизвестным
причинам.
После установки нового оборудования, программного
обеспечения или драйверов оборудования на
компьютере с Windows XP могут наблюдаться
указанные ниже симптомы.
Происходит сбой работы оборудования,
возникают ошибки, оборудование не работает
должным образом. Если это соответствует вашей
ситуации, перейдите к разделу «Способ А.
Отключение нового оборудования».
Появляется сообщение об ошибке на синем
экране. Если это соответствует вашей ситуации,
перейдите к разделу «Способ Б. Выполнение поиска
в базе знаний Майкрософт».
Компьютер постоянно перезагружается. Если это
соответствует вашей ситуации, перейдите к разделу
«Способ В. Отключение автоматической
перезагрузки при сбое системы».
Симптом отсутствует в списке. Если можно
перезагрузить компьютер, перейдите к разделу
«Способ Г. Использование при загрузке последней
удачной конфигурации».
Способ А. Отключение нового оборудования
Способ Б. Выполнение поиска в базе знаний
Майкрософт
Способ В. Отключение автоматической
перезагрузки при сбое системы
Способ Г. Использование при загрузке последней
удачной конфигурации
Способ Д. Использование функции
«Восстановление системы»:
Сначала выберите свою ситуацию из следующих
двух вариантов.
Вариант 1. Windows XP не запускается
Можно попробовать сделать из Безопасного режима
с поддержкой косоли.
Вариант 2. Windows XP запускается
Если Windows XP запускается, выполните
следующие действия, чтобы использовать функцию
Дополнительные способы устранения неполадок
Опытным пользователям рекомендуется выполнить
следующие действия по устранению неполадок.
Запустить Windows XP в безопасном режиме
Использовать функцию «Откатить драйвер»
Определить, не вызывается ли проблема
программой стороннего производителя
Определить конфликтующую программу или
служебную программу
Определить программу сторонних производителей,
вызывающую проблему
Определить конфликтующую службу
18. Управление дисковой памятью в Windows
Server 2003. Типы дисковой памяти
Управление дисковой памятью в Windows Server
2003 являются физически раздельными единицами
хранения и позволяют отдельно хранить
информацию разного типа, например ОС,
приложения и данные пользователей. Логические
тома традиционно обозначаются одной буквой
латинского алфавита.
Это сильно ограничивает (до 26) количество и
гибкость использования логических томов, которые
можно создать в системе. Файловая система NTFS в
Windows Server 2003 позволяет назначить для тома
одну букву алфавита или не назначать ее вовсе.
Кроме того, можно смонтировать том к одной или
нескольким пустым папкам на существующем томе
NTFS. Возможности этой мощной функции, по
словам создателей, «не ограничены». Например, с
ее помощью можно расширить доступное
пространство на существующем томе. Если новый
том является отказоустойчивым, а существующий —
нет, папка к которой монтируется том, представляет
отказоустойчивую часть пространства имен
существующего тома. Теоретически, можно
смонтировать все логические тома сервера к папкам
на дисках С: или D: и таким образом объединить
огромный объем памяти под одной буквой диска.
Есть две структуры, которые помогают Windows
Server 2003 распределять дисковое пространство:
базовые и динамические диски.
Базовые диски разбивают на разделы, каждый из
которых функционирует как физически отдельная
единица хранения. Информация о расположении и
размере каждого раздела хранится на диске в
таблице разделов главной загрузочной записи
(Master Boot Record, MBR). Базовый диск может
содержать до четырех разделов: четыре основных
либо три основных и один дополнительный.
Логический том на базовом диске — это любой
основной раздел или логический диск. Логический
том может быть представлен несколькими буквами
дисков (либо вовсе не иметь такой буквы) и
смонтирован к папке на существующем томе NTFS.
Основной раздел. Каждому основному разделу
соответствует один логический том на базовом
диске. Если базовый диск используется для запуска
ОС, только один основной раздел может быть также
помечен активным.
Дополнительный раздел. Базовый диск может
содержать один дополнительный раздел. В отличие
от основных, дополнительный раздел не
форматируется, и ему не назначается буква диска.
Вместо этого дополнительный раздел делят на
логические диски — логические тома на базовом
диске.
Помимо базовых дисков семейство Windows 2000/ХР
и Windows Server 2003 поддерживает динамические
диски. Единицей хранения на динамическом диске
является том, и одно из важнейших отличий
динамических дисков от базовых в том, что первые
поддерживают неограниченное количество томов, а
конфигурационная информация об этих томах
хранится в БД, управляемой службой Диспетчер
логических дисков (Logical Disk Manager).
Логический том на динамическом диске — это том.
Это может быть простой том на одном диске.
• Простой том. Эквивалент раздела на базовом
диске. Занимает место на одном физическом диске и
соответствует одному логическому тому. Простой
том можно расширить, добавив нераспределенное
пространство того же диска. Это позволяет
увеличивать емкость тома по мере увеличения
объема данных, которые на нем хранятся.
• Составной том. Содержит пространство нескольких
физических дисков. Составной том может
объединять пространство до 32 физических дисков,
причем объем занятого пространства на каждом
диске может быть разным. Данные записываются в
том начиная с первого диска. Когда место на первом
диске заканчивается, данные записываются на
второй диск и т. д. Составные тома позволяют
увеличивать емкость дисковой памяти. Если место
на простом или составном томе заканчивается, его
можно расширить на новые диски
Чередующийся том. Чередующийся том объединяет
свободное пространство нескольких жестких дисков в
один логический том. Однако, в отличие от
составного тома, данные равномерно записываются
на все физические диски тома. Поскольку
одновременно используется несколько физических
дисков, скорость операций чтения и записи
увеличивается практически геометрически при
добавлении новых физических дисков. Как и в случае
расширенных простых и составных томов, если один
диск выходит из строя, теряются все данные тома.
Зеркальный том. Зеркальный том состоит из двух
одинаковых копий простого тома, каждая из которых
находится на отдельном жестком диске. Зеркальные
тома позволяют продолжать работу, если один из
физических дисков выходит из строя.
Отказоустойчивый чередующийся том. Объединяет
пространство трех или более физических дисков в
один том. Данные равномерно записываются на все
физические диски, однако, в отличие от
чередующегося тома, данные чередуются с
информацией о контрольной сумме, называемой
четностью. Если один из дисков тома выходит из
строя, потерянную информацию можно
восстановить, используя оставшиеся данные и
информацию о контрольной сумме.
19. Управление дисковой памятью в WS 2003.
Настройка и обслуживание дисков и томов
Управление дисковой памятью в Windows Server
2003 являются физически раздельными единицами
хранения и позволяют отдельно хранить
информацию разного типа, например ОС,
приложения и данные пользователей. Логические
тома традиционно обозначаются одной буквой
латинского алфавита.
Это сильно ограничивает (до 26) количество и
гибкость использования логических томов, которые
можно создать в системе. Файловая система NTFS в
Windows Server 2003 позволяет назначить для тома
одну букву алфавита или не назначать ее вовсе.
Кроме того, можно смонтировать том к одной или
нескольким пустым папкам на существующем томе
NTFS. Возможности этой мощной функции, по
словам создателей, «не ограничены». Например, с
ее помощью можно расширить доступное
пространство на существующем томе. Если новый
том является отказоустойчивым, а существующий —
нет, папка к которой монтируется том, представляет
отказоустойчивую часть пространства имен
существующего тома. Теоретически, можно
смонтировать все логические тома сервера к папкам
на дисках С: или D: и таким образом объединить
огромный объем памяти под одной буквой диска.
Для управления дисками служит оснастка
Управление дисками (Disk Management) из консоли
Управление компьютером (Computer Management).
Откройте оснастку Управление дисками или
добавьте ее в собственную консоль.
Совет существует отдельная консоль Управление
дисками, но ее нельзя запустить из папки
Администрирование (Administrative Tools). Чтобы
сделать это, в меню Пуск (Start) выберите Выполнить
(Run) и исполните команду diskmgmt. msc.
Оснастка Управление дисками позволяет управлять
дисками на локальном и удаленных компьютерах.
Она манипулирует с конфигурацией дисков не
напрямую, а взаимодействует со Службой
администрирования диспетчера логических дисков
(Logical Disk Manager Administrative Service)
(Dmadmin), которая запускается на компьютере,
когда вы открываете оснастку Управление дисками.
Интерфейс оснастки Управление дисками. Верхний
список содержит сведения обо всех разделах,
логических дисках и томах. Внизу в графическом
виде изображено распределение пространства на
каждом физическом диске так, как это воспринимает
Windows Server 2003. Вы можете щелкнуть любой
том правой кнопкой, чтобы открыть контекстное
меню, позволяющее отформатировать, удалить или
назначить для тома букву. Щелкнув правой кнопкой
область нераспределенного пространства диска,
можно создать раздел или том. Щелкнув правой
кнопкой панель состояния диска слева от
графического изображения можно инициализировать
новый диск, преобразовать базовый диск в
динамический (или наоборот) и открыть окно свойств
оборудования диска.
21.Восстановление системы после сбоя.
Чтобы восстановить систему после сбоя с
использованием средства аварийного
восстановления системы
Перед началом процедуры восстановления
убедитесь в наличии следующих элементов:

предварительно созданной дискеты аварийного
восстановления системы;

предварительно созданного носителя архива;

исходного установочного компакт-диска
операционной системы.

При наличии контроллера запоминающего
устройства, для которого требуется отдельный файл
драйвера (отличный от файлов, доступных с
установочного компакт-диска), следует получить этот
файл (на дискете) перед началом процедуры.

Вставьте исходный установочный компакт-диск
операционной системы в дисковод.

Перезагрузите компьютер. При появлении на
экране приглашения нажать клавишу для загрузки с
компакт-диска нажмите соответствующую клавишу.

Если имеется отдельный файл драйвера, как
описано в шаге 1, используйте драйвер как часть
программы установки, нажав клавишу F6 в ответ на
соответствующее приглашение.

Нажмите клавишу F2 при появлении
соответствующего приглашения в начале текстового
этапа установки. Будет выведено приглашение
вставить предварительно созданную дискету
аварийного восстановления системы.

Следуйте указаниям, появляющимся на экране.

Если имеется отдельный файл драйвера, как
описано в шаге 1, нажмите клавишу F6 (во второй
раз) при появлении соответствующего приглашения
после перезагрузки системы.

Следуйте указаниям, появляющимся на экране.
22. Составные части ИВС.

Аппаратное обеспечение является основой ИВС
и определяет вычислительную мощность ИВС в
целом. Все аппаратное обеспечение можно
разделить на вычислительные установки, кабельное,
канало- и сетеобразующее, периферийное и
дополнительное оборудование.

Вычислительные установки (далее ВУ) служат
для выполнения основных вычислительных задач,
т.е. задач по хранению и обработке информации.
Вычислительные установки можно разделить на две
большие группы: серверы и рабочие станции.

Сервер (Server) – это вычислительная установка,
которая служит преимущественно для совместного
использования его информационно-вычислительных
ресурсов, к которым относятся, прежде всего,
центральный процессор или процессоры (например,
если это SMP-система), оперативная и внешняя
память (прежде всего, жесткие диски).
Основные требования к современному серверу:

Масштабируемость (Scalability) – возможность
наращивания мощности ВУ (количество и
быстродействие процессоров, объем оперативной и
внешней памяти) для пропорционального увеличения
скорости и плотности (определенное количество
запросов в единицу времени) обработки запросов, а
также объемов хранимой информации.

Отказоустойчивость (Intolerance) – возможность
системы полностью восстанавливать свою
работоспособность при аппаратных сбоях и высокая
доступность (High Level of Availability) – возможность
системы продолжать обслуживание запросов при
аппаратных сбоях. Обеспечивается дублированием
(Duplexing) основных аппаратных компонентов ВУ,
чаще всего выходящих из строя (обычно имеющих
механические части): источников питания;
вентиляторов; жестких дисков, а также
избыточностью (Redundancy) хранящейся
информации.

Управляемость (Manageability) – возможность
удаленного управления, сбора сведений о работе
подсистем сервера. Обеспечивается специальными
программно-аппаратными комплексами,
разрабатываемыми и поставляемыми
производителями серверов (Compaq Insite Manager,
Digital ServerWorks, IBM NetFinity).
23.Кабельное, сетевое оборудование ИВС.
Кабельное оборудование представлено кабелями
различных типов, а также специальными розетками и
вилками для подключения кабельных сегментов друг
к другу и к сетевому оборудованию.
Распространенные типы кабелей:

Коаксиальный кабель (Coaxial Cable) –
представляет собой изолированную медную жилу,
помещенную в медную оплетку, покрытую гибкой
изоляционной оболочкой. Для согласования
используются резисторы в виде «терминаторов». В
частности, для сетей на базе технологии Ethernet
применяются терминаторы с сопротивлением 50 Ом.
С коаксиальным кабелем используются
специализированные T-коннекторы для стыковки
сегментов кабельной системы и подключения к ВУ.
Достоинства: наружная оплетка должна быть
хорошо заземлена, разрыв любой части сетевого
кабеля приводит к выходу из строя всего сегмента
сети.
Недостатки: простота и дешевизна развертывания
(не требуется коммутационное оборудование).

Кабель на основе «витых пар» (Twisted Pairs
Cable) – представляет собой изолированные медные
провода, попарно скрученные и заключенные в
гибкую оболочку. Существует неизолированный
(UTP) и изолированный (STP) варианты данного типа
кабеля. В последнем случае скрученные пары
проводов заключаются в медную оплетку, которая
заземляется. Характеризуется так называемой
категорией, в частности, для сетей на базе
технологии Ethernet допускается использование
кабеля категории 3 и выше. С кабелем данного типа
используются вилки и розетки стандарта RJ-45
Достоинства: повышенная защищенность, не
требует заземления кабеля (справедливо для UTP),
простота локализации неполадок в сети, легкость
наращивания без остановки работы сети.
Недостатки: большие расходы кабеля,
дополнительные расходы на коммутационное
оборудование.

Оптоволоконный кабель (Fiber Optical Cable) –
представляет собой стеклянную жилу – «световод»,
заключенную в гибкую оболочку. Используется для
построения сети по топологии «точка-точка».
Применяется для построения магистралей, т.е.
создания каналов связи между удаленными частями
сети, а также для подключения
серверов.
Существуют две разновидности данного кабеля:
– многомодовый оптоволоконный кабель –
допускается передача нескольких пучков света –
«мод» – по одному световоду, при этом
обеспечивается дальность связи до 2 км;
– одномодовый оптоволоконный кабель –
вследствие меньшего диаметра световода возможна
передача только одного пучка света, при этом
обеспечивается дальность связи до 80 км
(теоретически
возможная).
Достоинства: повышенная защищенность, не
требуется заземление кабеля, способность
обеспечивать связь на больших расстояниях.
Недостатки: сложность прокладки и монтажа,
дорогое оконечное оборудование (см. далее).
Сетевое оборудование
Сетевое оборудование можно разделить на 2 группы:

Оконечное оборудование. К оконечному
оборудованию относятся сетевые платы и модемы,
которые устанавливаются в ВУ и обеспечивают
подключение ВУ к сети.

Коммутационное оборудование. К нему
относятся концентраторы, мосты и коммутаторы,
маршрутизаторы, которые служат для связи частей
кабельной системы в единую сетевую
инфраструктуру.
Периферийное оборудование – это оборудование,
расширяющее функциональные возможности ВУ
(прежде всего функциями ввода/вывода).
Периферийное оборудование подключается прямо к
ВУ посредством специализированных интерфейсов,
либо посредством канало- и сетеобразующего
оборудования. Включает мониторы, клавиатуры,
мыши, принтеры, сканеры, дисковые массивы и т. п.
Дополнительное оборудование – оборудование,
необходимое для более эффективной и надежной
работы основного оборудования ИВС. Включает
прежде всего источники бесперебойного питания
(далее ИБП), а также анализаторы сети, датчики
состояния окружающей среды и т.п.
24. ПО ИВС.
Программное обеспечение / Software (далее ПО)
служит посредником между аппаратным
обеспечением ИВС и пользователем ИВС при
доступе последнего к ресурсам ИВС и выполнении
различных информационно-вычислительных задач.
Деление по функциональным возможностям:

Серверная ОС (СОС) – хранится на дисках
сервера и выполняется на процессоре(-ах) сервера,
обслуживая другие информационно-вычислительные
задачи (СУБД, почтовая система и т.д.). В
зависимости от производителя и версии СОС
обладает различной функциональностью и
возможностями.

Клиентская ОС (КОС) – хранится на дисках
рабочей станции (или на дисках сервера),
выполняется на процессоре рабочей станции,
обеспечивая пользователю ИВС базовый интерфейс
(средство взаимодействия) для доступа к ресурсам
ИВС. Также может обслуживать дополнительные
задачи. В зависимости от производителя и версии
КОС обладает различной функциональностью и
возможностями.

СУБД – служит для эффективного хранения и
обработки большого объема упорядоченной
определенным способом информации. На
сегодняшний день чаще всего используются СУБД,
поддерживающие реляционную модель хранения
данных.

Почтовая система – служит для взаимодействия
пользователей ИВС посредством самой ИВС, аналог
обычной почты, реализованный в электронном виде.
Система групповой работы (Groupware) – более
совершенное средство взаимодействия
пользователей, позволяет упорядочить и
формализовать обмен сообщениями.

Средства обеспечения взаимодействия с
Internet/Intranet – работа пользователей в ИВС на
базе ГВС предполагает на сегодня работу в Internet –
открытой информационно-вычислительной сети,
охватывающей весь земной шар и имеющей
миллионы пользователей.
Intranet – ИВС предприятия, использующая средства
Internet для транспортировки своих информационных
потоков между разбросанными по земному шару
частями ИВС. Включают:

ПО для обеспечения прикладных сервисов –
серверы WWW, FTP, SMTP/POP3 и т.п.

ПО для получения доступа к прикладным
сервисам – броузеры Интернет, FTP-клиенты, POP3клиенты.

ПО на границе ЛВС/ГВС для обеспечения
безопасности корпоративных сетей – брандмауэры
(Firewalls), прокси-серверы (Proxy), шлюзы
(Gateways), туннели (Tunnels).

Средства сетевого и системного управления.
Администратору большой ИВС требуется
специальный инструментарий, позволяющий легко
выполнять задачи по администрированию,
сопровождению и управлению частями и
компонентами ИВС.

Прикладное ПО – не связанное напрямую с
ресурсами ИВС
ПО. Служит для решения задач прикладной области:
работа в офисе, автоматизация работы бухгалтерии,
графическое макетирование и издательская
деятельность и т.п. Примеры: MS Office, Lotus
SmartSuite, 1С:Бухгалтерия, Adobe Illustrator.

Дополнительное ПО – ПО, облегчающее и
делающее более удобной работу пользователей
ИВС.
Деление ПО на системное и прикладное:
Системное ПО – служит для выполнения задач по
обслуживанию ИВС, прежде всего ее аппаратного
обеспечения. К системному ПО относится большая
часть программных компонент в составе ОС, а также
различное ПО для обслуживания аппаратного
обеспечения ИВС: ПО для резервного копирования,
ПО для настройки сетевого оборудования и т.д.
Прикладное ПО – служит для выполнения
информационно-вычислительных задач, решаемых
обычными пользователями ИВС. К прикладному ПО
относятся СУБД, почтовая система, программные
пакеты для работы в офисе и т.д.
Деление ПО по месту выполнения:
Серверное ПО – выполняющееся как один и более
процессов на ВУ, выполняющей роль сервера.
Клиентское ПО – выполняющееся как один и более
процессов на ВУ, выполняющей роль рабочей
станции.
Клиент-серверное ПО – распределенное ПО,
выполняющееся как два и более процесса на двух и
более ВУ (см. далее «Модели вычислений»).
25. Сетевые и персональные ОС. Требования к
СОС. Функции СОС.
Деление ОС на сетевые и персональные
С точки зрения готовности для работы в сети ОС
делятся на сетевые (серверные и клиентские) и
несетевые (или персональные).
Сетевая ОС в отличие от несетевой имеет
встроенные программные компоненты для
взаимодействия ВУ по сети.
Серверная ОС позволяет предоставить ресурсы ВУ
для совместного использования. Ресурсы ВУ,
предоставленные в совместное использование,
называются сетевыми ресурсами.
Клиентская ОС позволяет выдавать запросы на
использование сетевых ресурсов.
Требования к серверной ОС
1) наличие высокопроизводительной службы для
совместного использования файлов и принтеров;
2) поддержка многочисленных клиентских сред
(DOS, OS/2,Windows, Mac, UNIX).
3) возможность обслуживать сложную сеть
масштаба предприятия (архитектура Enterprise
Computing);
4) совместимость с различными программными и
аппарат средствами, аппаратная независимость;
5) обеспечение информационной безопасности;
6) тесная интеграция c Internet;
7) открытость и поддержка со стороны третьих
фирм – производителей ПО.
Отдельно отметим такие требования, как
масштабируемость, отказоустойчивость и
управляемость – традиционные требования к
серверным компонентам ИВС (как программным, так
и аппаратным).
Функции серверной ОС
1) обеспечение возможности совместного
использования файлов и принтеров – файлы,
каталоги, расположенные на дисках сервера,
и принтеры, подключенные к серверу, используются
многими пользователями;
2) обеспечение прозрачного доступа к совместно
использующимся ресурсам из разных клиентских
сред – один и тот же ресурс из одной среды виден
как ресурс, совместимый с одной средой, а из
другой – как ресурс, совместимый с другой средой.
Например, в DOS некоторый файл виден с именем
TEST~3.DOC, а в OS/2 этот же файл может быть
виден с именем TEST for Word processor.doc.
3) поддержка большого количества пользователей
за счет службы справочника, обеспечение
возможности однократной регистрации в системе в
противовес отдельной регистрации в каждой системе
и/или сетевой службе;
4) возможность автоматического обнаружения и
регистрации новых устройств и средств расширения,
автоматическая настройка ОС при появлении новых
вычислительных ресурсов (память, процессоры,
диски);
5) встроенные средства шифрования с
использованием технологии сертификатов;
6) поддержка средств архивирования и резервного
копирования данных;
7) поддержка служб работы в Internet (WWW, FTP,
архитектура Java).
26. Использование средств инструментария для
управления Windows (WMI) в
администрировании.
WMI – это Windows Management Instrumentation
(инструментарий управления Windows).
WMI – это расширенная и адаптированная
компанией Microsoft реализация стандарта WBEM
(WebBased Enterprise Management). В основе
структуры представления данных в стандарте WBEM
лежит CIM (Common Information Model – модель
информации общего типа), реализующая объектноориентированный подход к представлению
компонентов систем как классов со своим набором
свойств и методов, а также принципов наследования.
WMI – это открытая унифицированная библиотека
(репозиторий) однотипных интерфейсов доступа к
параметрам, настройки и свойствам различных
систем и их компонентов.
Средства работы с WMI для администратора
Набор утилит на поставляемые с операционной
системой:
• wmimgmt.msc – оснастка консоли MMC,
позволяющая в целом управлять самой системой
WMI на выбранном компьютере;
• Winmgmt.exe – консольная утилита управления
WMI. Выполняет аналогичные действия, что и
консоль MMC wmimgmt.msc. Кроме того, является
исполняемым файлом сервиса WMI в системе. Для
запуска из консоли используется с опцией /exe
(winmgmt.exe /exe);
• Wbemtest.exe – графическая утилита для
интерактивной работы с WMI. Удобна для
тестирования классов и методов, просмотра свойств
и т. п.;
• Wmic.exe – консольная утилита для вызова
объектов и методов WMI (WMI Console) –
присутствует только в Windows XP и Windows Server
2003;
• mofcomp.exe – компилятор MOF-файлов. Служит
для расширения репозитория WMI и тонких операций
с библиотекой классов WMI, а также для «ремонта»
нарушенного репозитория.
Программа WMIC
В стандартную поставку операционной системы
Windows Vista входит программа командной строки
wmic.exe. При первом запуске программы
выполняется ее установка в системе, после чего
будет выведена командная строка wmic.
Программа WBEMTEST.exe - имеет графический
интерфейс. Она позволяет перечислять, открывать и
создавать классы или экземпляры этих классов, а
также выполнять WQL запросы к репозиторию CIM
(представляют собой разновидность SQL-запросов),
либо выполнять методы классов.
Кнопка QUERY основного окна программы
wbemtest.exe. С помощью данной кнопки можно
отобразить диалог, позволяющий вводить WQLзапросы к репозиторию CIM и получать экземпляры
классов, хранящиеся в нем.
Запросы WQL делятся на три типа: запросы данных,
запросы схем и запросы событий. Мы рассмотрим
только синтаксис запросов данных. Запросы данных
предназначены для получения экземпляров класса, а
также их ассоциаций.

Select * From «класс»

Select «список свойств, значения которых нужно
вывести» From «класс»

select «свойства» from «класс» where
«свойство»=«значение»

список выводимых экземпляров только классом
Win32_Service, нужно воспользоваться запросом
вида select * from Win32_BaseService where
__CLASS=" Win32_Service ".
select «свойства»|* from «класс» [where
[__CLASS="класс"] [AND|OR]
[«свойство»=«значение»]]
События WMI – это очень удобный и эффективный
механизм выявления изменений в системе и
экземплярах объектов WMI. Примеры событий подключение диска, вход пользователя...
Теперь необходимо обратить наше пристальное
внимание на тот факт, что существуют два типа
событий WMI. Внутренние (системные) события WMI
и внешние (чуждые). Эти типы событий
принципиально отличаются по своему
происхождению, обслуживаются разными группами
классов WMI и, как следствие, отличаются по
некоторым приемам работы с ними.
События можно отлавливать синхорнно и
асинхронно. Синхронно - скрипт блокируется пока
событие не произойдет, асихнронно – не
блокируется.
27. Службы серверной ОС
1. Служба для совместного использования ресурсов
файловой системы
Эта служба обеспечивает совместное
использование дискового пространства одной ВУ с
других ВУ. ВУ с установленной и запущенной
службой для совместного использования ресурсов
файловой системы будем называть файловым
сервером. В зависимости от производителя и версии
ОС в совместное использование предоставляются
все ресурсы файловой системы (NetWare), либо
только часть ресурсов (Windows NT, OS/2 LAN
Server), при этом на администратора возлагается
обязанность по созданию сетевых ресурсов.
2. Служба для совместного использования принтеров
Эта служба обеспечивает совместное
использование принтеров, подключенных локально к
ВУ, а также к сетевым принтерам с других ВУ. ВУ с
установленной и запущенной службой для
совместного использования принтеров будем
называть сервером печати. Для поддержки
различных клиентских сред обеспечивается
возможность прозрачного доступа к услугам сервера
печати в соответствии с теми стандартами, которые
приняты в соответствующих средах.
3. Служба справочника
Служба справочника обеспечивает идентификацию
информационно-вычислительных ресурсов,
регистрацию и аутентификацию пользователей в
системе. Кроме того, в БД, поддерживаемой службой
справочника, может храниться дополнительная
информация о каждом пользователе, а также
информация о других ресурсах сети, например
принтерах, серверах и т.д. Служба справочника
тесно взаимодействует со службой безопасности.
На сегодняшний день служба справочника является
одной из основных служб СОС, обеспечивающих
эффективное построение ИВС и управление
ресурсами ИВС
Требования к службе справочника:
1) Обеспечивать единую процедуру входа в сеть.
Пройдя один раз процедуру аутентификации с
помощью службы справочника, пользователь должен
получить возможность доступа ко всем ресурсам
сети, на которые он имеет право доступа.
2) Иметь единую базу данных для хранения
информации как о физических, так и о логических
ресурсах сети. Каждый ресурс ИВС должен быть
представлен в виде отдельного объекта в базе
данных службы справочника.
3) Иметь иерархическую логическую структуру,
отражающую организационную структуру
подразделений предприятия, а также логическую
структуру ИВС.
4) Иметь одну утилиту для управления всеми
ресурсами ИВС. Таким образом, может быть
обеспечено централизованное управление ИВС из
одной точки сети.
5) Обладать масштабируемостью. Разбиение базы
данных на части позволяет распределять БД службы
справочника по серверам сети и выравнивать
нагрузку на серверы при росте количества объектов
в БД.
6) Обладать надежностью. Возможность
дублирования (тиражирования) частей базы данных
службы справочника позволяет устранить проблему
аутентификации в системе и авторизации для
обеспечения доступа к сетевым ресурсам при отказе
одного из серверов, поддерживающих службу
справочника.
7) Поддерживать различные программно-аппаратные
платформы, включая большие ЭВМ, мини-ЭВМ и
UNIX-системы.
4. Служба безопасности
Отвечает за управляемый доступ к ресурсам ВУ, на
которой установлена данная служба в составе
серверной ОС, а также к другим службам ОС.
Основной задачей, которую призвана решать данная
служба, является защита информации от
несанкционированного доступа, что предполагает,
прежде всего, возможность присваивания
пользователям определяемых администратором
прав доступа к ресурсам.
Выполнение функций обеспечивается:
а) списками управления доступом к защищенным
ресурсам;
б) проверкой прав доступа (авторизацией) при
попытках доступа к ресурсам – сравниваются
запрашиваемые права доступа и действительные
права доступа на ресурс;
в) управляемой реакцией – в зависимости от
результата проверки прав доступа система
предоставляет доступ или отклоняет попытку
доступа к ресурсам;
г) шифрованием информации, хранящейся в БД
службы справочника, в обычных файлах на жестких
дисках и передаваемых по сети – прежде всего,
шифруются пароли доступа, а также ключи
шифрования и сертификаты;
д) системными политиками, определяющими
правила работы пользователей с ресурсами сети и
ВУ, на которой установлена серверная ОС.
Служба безопасности тесно взаимодействует со
службой аудита и журналирования.
5. Служба аудита и журналирования
Идея контроля использования ресурсов системы
хорошо известна еще со времен больших ЭВМ. К
сожалению, в составе операционных систем
поставляются средства аудита только начального
уровня. Однако существуют программные продукты
производства третьих фирм, обеспечивающие более
полное выполнение функций контроля и
журналирования. Функции службы контроля и
журналирования:
1) тесное взаимодействие с основными службами
серверной ОС для получения в реальном масштабе
времени информации о событиях, происходящих в
системе;
2) поддержка БД журнала службы контроля для
оперативного документирования происходящих
событий с возможностью фильтрации имеющихся
записей по определенному условию;
3) возможность независимого управления службой
для проведения внешнего контроля.
Контроль может вестись на нескольких уровнях:
1) Аппаратный уровень – сбор и отслеживание
изменений в конфигурации серверов. Существуют
специальные программные средства, например,
ServerWorks (Digital), NetFinity (IBM), InsiteManager
(Compaq).
2) Уровень основных служб ОС – сбор сведений о
настройках ОС, контроль запуска драйверов и
основных служб (менеджер памяти, подсистема
ввода/вывода и т. п.), контроль использования
информационно-вычислительных ресурсов. Хорошим
примером для ОС NetWare может служить Novell
ManageWise.
3) Уровень службы безопасности – сбор сведений о
событиях безопасности (успешные или безуспешные
попытки доступа к ресурсам, смена прав доступа,
создание и удаление защищенных ресурсов).
4) Уровень приложений (включая некоторые службы
ОС) – сбор сведений о функционировании
приложений (запуск, изменение параметров,
завершение работы).
6. Служба архивирования и резервного копирования
В состав современных серверных ОС входят
средства автоматического, либо ручного
архивирования редко использующихся ресурсов
файловой системы. Резервное копирование
заключается в создании на съемных носителях
частичных или полных копий данных, хранящихся на
дисках сервера. Современные серверные ОС имеют
встроенные средства резервного копирования,
поддерживающие различные устройства и носители,
например, устройства для записи и считывания на
магнитно-оптические диски (МО-дисководы),
устройства для записи и считывания на магнитные
ленты (стриммеры), устройства CD-R(W) и т.д.
Требования к службе архивирования и резервного
копирования:
1) автоматическая поддержка различных вариантов
резервного копирования;
2) наличие агентов для копирования данных с
различных ВУ сети (серверов и рабочих станций);
3) наличие или возможность подключения агентов
для on-line резервного копирования данных,
хранящихся в СУБД и других серверных
приложениях;
4) поддержка различных аппаратных и программных
платформ;
5) возможность создания системного диска для
восстановления информации на дисках ВУ после
механических сбоев, приведших к замене дисков ВУ
с системными файлами ОС;
6) поддержка заданий, расписаний для
автоматического выполнения заданий;
7) поддержка режимов частичного и полного
восстановления информации.
7. Службы для обеспечения работы в Internet
28. Функции администратора серверной ОС
Администратор ИВС или администратор серверной
ОС должен выполнять следующие функции:
1.Установка и настройка серверной ОС. Включает
следующие задачи:

Установка программных файлов СОС на ВУ в
роли сервера.

Создание и поддержка томов файловой
системы, в том числе для целей совместного
использования ресурсов файловой системы.

Установка и настройка основных и
дополнительных служб ОС.
2. Сопровождение серверной ОС. Включает:

Управление объектами службы справочника, в
том числе учетными записями пользователей.

Обеспечение безопасного доступа
пользователей к совместно использующимся
ресурсам.

Обеспечение надежности ресурсов файловой
системы и выполнение их резервного копирования.

Контроль работы серверной ОС и ее служб,
включая контроль доступа к ресурсам.

Подключение пользователей и настройка
рабочей среды пользователей.
Функции администратора ИВС
Администратор ИВС обеспечивает надлежащую
работоспособность ИВС, выполняя определенные
функции (или должностные обязанности). К
основным функциям администратора относятся:
Управление учетными записями пользователей.
Включает регистрацию пользователей, контроль
использования учетных записей, задание
ограничений на использование учетных записей,
блокирование временно не использующихся учетных
записей, удаление учетных записей.
Управление доступом к ресурсам. Включает
создание логических и регистрацию физических
ресурсов ИВС, обеспечение управляемого доступа к
ресурсам с помощью списков управления доступом,
контроль использования ресурсов.
Обеспечение сохранности, секретности и
актуальности данных. Включает создание и
поддержание нужного количества резервных копий,
восстановление при необходимости данных, защиту
данных от несанкционированного доступа (путем
установки соответствующих прав доступа),
своевременное обновление данных.
29. Жизненный цикл информационных систем
Под жизненным циклом системы обычно понимается
непрерывный процесс, который начинается с
момента принятия решения о необходимости
создания системы и заканчивается в момент ее
полного изъятия из эксплуатации.
жизненный цикл информационной системы
охватывает все стадии и этапы ее создания,
сопровождения и развития:

предпроектный анализ;

проектирование системы (включая разработку
технического задания, эскизного и технического
проектов);

разработку системы (в том числе
программирование и тестирование прикладных
программ на основании проектных спецификаций
подсистем, выделенных на стадии проектирования);

интеграцию и сборку системы, проведение ее
испытаний;

эксплуатацию системы и ее сопровождение;

развитие системы.
Модели ЖЦ
Под моделью жизненного цикла понимается
структура, определяющая последовательность
выполнения и взаимосвязи процессов, действий и
задач, выполняемых на протяжении жизненного
цикла.
Задачная модель
При разработке системы "снизу-вверх" от отдельных
задач ко всей системе (задачная модель) единый
поход к разработке неизбежно теряется, возникают
проблемы при информационной стыковке отдельных
компонентов.
Общий вывод: достаточно большую эффективную
информационной системы таким способом создать
невозможно.
Каскадная модель
Его основной характеристикой является разбиение
всей разработки на этапы, причем переход с одного
этапа на следующий происходит только после того,
как будет полностью завершена работа на текущем
(рис. 1). Каждый этап завершается выпуском полного
комплекта документации, достаточной для того,
чтобы разработка могла быть продолжена другой
командой разработчиков.
Однако в процессе создания постоянно возникала
потребность в возврате к предыдущим этапам и
уточнении или пересмотре ранее принятых решений.
В результате реальный процесс создания
программного обеспечения принимал следующий
вид (рис. 2):
Спиральная модель
Разработка итерациями отражает объективно
существующий спиральный цикл создания системы.
Неполное завершение работ на каждом этапе
позволяет переходить на следующий этап, не
дожидаясь полного завершения работы на текущем.
При итеративном способе разработки недостающую
работу можно будет выполнить на следующей
итерации. Главная же задача - как можно быстрее
показать пользователям системы работоспособный
продукт, тем самым, активизируя процесс уточнения
и дополнения требований.
Основная проблема спирального цикла определение момента перехода на следующий этап.
30. Функции администратора БД.
Администратор – лицо, ответственное за
целостность и непротиворечивость данных в
системе, за безопасность системы, эффективность
функционирования системы и использование ее
ресурсов.
Функции:
1)инсталяция СУБД – является функцией только
сис.админа; разработчики стремятся в max степени
автоматизировать процесс инсталляции и свести
действия user’ов к min;
2)управление памятью – данные хранятся во
внешней памяти, админы обеспечивают такое
выделение памяти, чтобы ее было достаточно для
хранения и эффективного доступа к данным и с др
стороны, чтобы min количество выделенной памяти
оставалось неиспользованным;
3)управление разделяемыми данными между
пользователями – разделение данных между
пользователями при их параллельной работе
обеспечивается автоматически средствами СУБД и
SQL, однако при одновременной работе
независимых приложений могут возникать конфликты
одновременного доступа, админ в этом случае
должен выступить в роли консультанта прикладных
программистов, свести к min взаимные блокировки
приложений друг другом;
4)копирование и восстановление данных –
необходимо для гарантии сохранности данных даже
при полном крахе системы;
5)управление безопасностью в системе – защита от
несанкционированного доступа, админ занимается
регистрацией user’ов в системе, выделением user’ам
привилегий и бюджетов;
6)передача данных между СУБД и др системами –
для переноса данных в распоряжении админа
имеются утилиты выгрузки данных в форме,
пригодной для переноса и загрузки данных,
поступающих из др систем;
7)управление производительностью.
31. Управление памятью в БД.
Структура внешней памяти:
1)логич единица памяти – используется для
разделения памяти между таблицами БД. Размер
складывается из размера входящих в нее системных
единиц памяти и может превышать предельно
допустимые в ФС размеры файлов и дисков;
2)системная единица памяти – используется для
связи с ФС, соответствует единице хранения данных
в ФС. Логическая единица может включать одну или
несколько системных единиц. При создании
системной единицы указывается ее размер, ресурс
может быть выделен сразу либо по мере
необходимости;
3)физическая единица памяти – единица обмена
между внешней и оперативной памятью, размер
обычно 2, 4, 8 кБ. Данные относятся только к одной
таблице.
2 подхода к распределению функций управления
внешней памятью:
1 подход – функции ФС используются СУБД в полной
мере и др структуры СУБД отображаются в
отдельные файлы в рамках ФС;
2 подход – СУБД запрашивает у ФС некоторый
участок дискового пространства и сама управляет
памятью в пределах выделенного ресурса.
Первый подход проще в администрировании и
позволяет выделять заказываемый ресурс памяти не
весь сразу, а по частям по мере возникновения
реальной потребность в ресурсе. Второй подход
сложнее, т.к. требует выделения ресурса сразу.
Такой подход может обеспечить более быстрый
доступ к данным.
Задачи управления памятью.
Создание любой БД и таблицы в БД предполагает
выделение min числа логич и системных единиц с
установленными размерами и параметрами
использования. Проблемы могут возникнуть при
нехватке пространства, выделенного БД при
создании. В этом случае необходимо добавить новые
системные единицы к уже имеющимся логическим
и/или добавить новую логической единицу со своими
системными. Но это уменьшает эффективность
доступа и не всегда возможно. Поэтому нужно
грамотно выделить память при создании. Если всетаки нужно изменить БД, можно создать новую и
импортировать в нее данные старой БД. Чтобы
добиться высокоэффективного доступа, можно
размещать системные единицы на разных дисковых
устройствах.
32. Управление многопользовательским
доступом к БД.
Транзакция – единица работы, такая
последовательность операторов в SQL, которая
обрабатывается как единое целое. Выполнение
транзакций определяется установленными уровнями
изоляции.
Блокировки являются средством предотвращения
нарушения целостности данных при параллельном
доступе. Блокировки устанавливаются явным
образом операторами:
1)LOCK TABLE
2)SELECT с опцией FOR
3)OPEN CURSOR, если в объявлении курсора задана
опция FOR
Неявно устанавливаются следующие блокировки:
1)S (SHARE) – блокировка разделения;
2)U (UPDATE) – блокировка изменения;
3)X (EXCLUSIVE) – блокировка монополизации;
4)Z (SUPEREXCLUSIVE) – блокировка сверх
монополизации;
Режи
объект
Доступ
блокиро
Доступ
м
хозяина
вки
конкуре
блок
нта
-ки
S
Табли
SELECT
S
SELECT
ца
U
Таблц
изменени
X
SELECT
иа
е
X
Табли
SELECT,
X
SELECT
ца,
изменени
только
Строка
е
для UR
Z
Табли
CREATE,
Z
Нет
ца,
ALTER,DR
доступа
Строка
OP
При параллельной работе приложений возможны так
называемые неразрешимые конфликты доступа.
СУБД выполняет проверку на наличие тупиковой
ситуации (когда транзакция не может быть
выполнена потому, что выполняется другая) через
установленный интервал времени. Ликвидация
тупика состоит в подмене транзакций одного из
приложений, участвующих в тупике. Когда
остановившееся приложение закончит свою
транзакцию и освободит объекты, повторно
запускается отмененная транзакция. В качестве
«жертвы» для отката выбирается транзакция, для
которой был выполнен меньший объем действий.
«Жертва» по коду ошибки может установить, что ее
транзакцию отменили и явно выполнить ее еще раз.
33. Копирование и восстановление данных в БД.
Ошибки в данных и структуре БД могут проявляться
вследствие:
1)сбоев оборудования;
2)порчи носителей;
3)ошибочных действий интерактивных
пользователей.
Восстановление данных включает в себя:
1)рестарт системы – обеспечивает рабочее
состояние всех БД в случае неожиданного
прекращения работы системы: могут прерваны
транзакции, некоторые уже завершенные транзакции
могут быть не записаны во внешнюю память и
оставаться в кеше – они будут потеряны;
2)восстановление по резервной копии – все СУБД
предоставляют утилиты резервного копирования БД.
Резервная копия – файл или несколько файлов на
магнитном носителе, содержит структуру БД и все
данные в ней. БД можно восстановить по резервной
копии – таким образом, БД можно переносить в др
инсталляцию на той же платформе. Копирование
осуществляется админом периодически. Частота
зависит от важности БД и от интенсивности ее
обновления.;
3)восстановление с прокруткой вперед – прокрутка
призвана обеспечить восстановление состояния БД
практически до момента сбоя. Это обеспечивается за
счет журналов транзакций. Для них тоже делаются
копии на случай порчи носителей. Для
восстановления может потребоваться несколько
копий журналов.
Копирование и восстановление – процессы очень
ресурсоемкие, как в отношении времени и рабочей
памяти, так и в отношении объема внешней памяти,
необходимой для хранения копий. Поэтому админу
для каждой конкретной БД необходимо разработать
процедуру копирования: как часто копировать? что
копировать? Какие выбрать параметры копирования?
Каков выбрать порядок хранения копий? Нужно
находить компромиссные решения между
надежностью эксплуатации БД и затратами на
обеспечение этой надежности.
В некоторых СУБД существует возможность
копирования не всей БД, а отд логич единиц ее
памяти. Это дает возможность копировать разные
пространства с разной частотой, и этим снизить
затраты на обеспечение гарантии целостности БД.
34.Экспорт и импорт данных в БД.
Операции экспорта и импорта обеспечивают обмен
данными между:
- таблицами одной и той же БД;
- разными БД одной и той же инсталляции СУБД;
- разными инсталляциями одной СУБД на одной или
разных платформах;
- СУБД и независимыми от нее приложениями или др
СУБД.
При экспорте выводится не вся таблица (как при
копировании), а только данные в виде таблицы или
вирт таблицы. При вызове утилиты экспорта
задается имя таблицы и имя файла, в который
указанная таблица экспортируется. Можно задавать
количество строк и столбцов, которые
экспортировать. Можно задавать формат файла:
символьный – данные в виде строк (позиционный –
каждое значение это отдельная строка или
количество знакомест ограничено, с разделителями
– есть разделитель между значениями одного
кортежа), собственный – для переноса данных между
таблицами одной и той же СУБД, в него могут быть
включены доп данные, спец формат – для обмена
данными с дружественными прог продуктами и
обычно совпадают с внутренними форматами этих
продуктов.
Импорт – перенос данных из внешнего файла в
таблицу. Требуется имя файла, имя таблицы,
формат данных. Возникает ряд доп проблем: ввод
данных в непустую таблицу, совместимость данных с
описанием таблицы, проверка правил целостности и
модификации.
Режимы импорта:
1)создание таблиц – таблица обязательно создается
заново;
2)замена – удаление данных из существующей
таблицы и вставка данных из файла;
3)вставка – вставка данных без изменения данных,
которые были в таблице;
4)вставка с заменой – замена существующих строк с
первичными ключами, идентичными ключам из строк
из импортируемого файла.
Проблемы:
- могут быть заданы имена столбцов и порядок
следования значений столбцов во внешнем файле;
- типы столбца таблицы и представление данных для
него во внешнем файле могут отличаться;
Жесткие несоответствия приводят к отказу от
импорта строки. Для мягких несоответствий могут
быть усечены данные до предельной длины,
установлены значения по умолчанию, значения
заменены на NULL.
35. Безопасность данных в БД.
Каждый акт доступа включает в себя 3 составляющ:
- субъект – кто выполняет доступ;
- объект – то, к чему выполняется доступ;
- вид доступа – операция, выполняемая субъектом
над объектом;
Санкционированный доступ – выполняемая операция
разрешена данному субъекту над данным объектом.
Такие разрешения наз-ся правами или привилегиями.
2 модели управления доступом:
- обязательная – иерархическая (нужно ,ч тобы
уровень пользователя был не ниже указанного);
- избирательная – есть владелец (имеет все права),
он может передавать все права или выборочно др
пользователям, группам.
Виды привилегий:
1)control – права управления, включают в себя права
передачи привилегий доступа, иногда все права;
2)alter – право изменять структуру таблицы
(добавлять столбцы);
3)index – право создавать индексы в таблицах;
4)select – право чтения;
5)delete/insert/update – соответственно;
6)references – право ссылаться на таблицу.
Идеальных систем защиты не существует. Самой
слабой точкой является сохранение паролей и
определение прав для каждого пользователя.
Поэтому при работе с важными данными может
возникнуть необходимость проверки контрольного
следа выполняемых операций. При возникновении
подозрений проводится аудит – проверка
пользователей.
При регистрации указываются:
1)объект, доступ к которому регистрируется;
2)вид доступа (соединение с БД, изменение строк);
3)условия регистрации (любые попытки доступа,
только успешные, только неудачные).
36. Серверы имен. Основные понятия
DNS, WINS
Сервер
имен
специальный
сервер,
осуществляющий отображение доменных имен в IPадреса (и наоборот)
И WINS, и DNS выполняют разрешение имен,
которое
представляет
собой
процесс
преобразования компьютерного имени в адрес. WINS
преобразовывает внутренние имена NetBIOS в IPадреса, а DNS преобразует в IP-адреса Internetимена. Если ваша сеть охватывает только вашу
компанию и в ней используются только системы
компании Microsoft, DNS вам абсолютно ни к чему;
все, что необходимо для разрешения имен
предлагает WINS. Однако если вы подключены к
Internet, вам следует подумать о том, какой тип связи
имеет
смысл
реализовывать.
Если
ваши
пользователи будут получать доступ к внешним
серверам в Internet, необходимо предоставить им
возможности, которые выходят за рамки поиска
адреса в Internet. Если же, напротив, вы планируете
предоставлять ресурсы, к которым будут обращаться
пользователи вне вашей сети, следует в своей базе
данных DNS сконфигурировать серверы как хосты.
DNS - это часть семейства протоколов и утилит
TCP/IP. Microsoft и другие компании предлагают
различные версии DNS, работающие на
разнообразных операционных системах (в основном
на вариантах Unix). Слово domain в названии DNS
относится к доменам в Internet, а не к доменной
модели NT.
Internet подразделяется на домены, каждый из
которых обслуживает различные группы
пользователей. К таковым доменам относятся
домены .com, .edu, .gov и .mil. Ими управляет
Internet-сервер первого уровня, получивший название
корневого сервера имен (это название становится
понятным, если представлять себе Internet как
древовидную структуру).
Система именования доменов Internet сначала
обращается к Internet-серверам первого уровня, а
затем "спускается" по дереву серверов. Когда вы
набираете адрес, ваш локальный сервер DNS
просматривает свою базу данных и кэширует
требуемую информацию. Если локальный сервер не
содержит IP-адрес, он передает запрос корневому
серверу имен. После чего корневой сервер имен
возвращает вашему серверу DNS адрес
соответствующего сервера имен. В свою очередь
ваш сервер DNS обращается с запросом к серверу
имен в поисках адреса сервера на следующем
уровне и далее процесс повторяется.
WINS-сервер служит для хранения имен NetBIOS и
разрешения их в IP-адреса. Если для узла TCP/IP
задан IP-адрес WINS-сервера, то этот узел TCP/IP
регистрирует свои имена NetBIOS на этом WINSсервере и направляет ему запросы на разрешение
имен NetBIOS.
DNS - компьютерная распределённая система для
получения информации о доменах. Чаще всего
используется для получения IP-адреса по имени
хоста (компьютера или устройства), получения
информации о маршрутизации почты,
обслуживающих узлах для протоколов в домене
37. Групповые политики, функции и назначения.
Объекты групповой политики. Назначение
групповых политик для задач
администрирования.
Групповая политика — это набор правил, в
соответствии с которыми производится настройка
рабочей среды Windows. Групповые политики
создаются в домене и реплицируются в рамках
домена. Объект групповой политики состоит из двух
физически раздельных составляющих: контейнера
групповой политики и шаблона групповой политики.
Эти два компонента содержат в себе всю
информацию о параметрах рабочей среды, которая
включается в состав объекта групповой политики.
Продуманное применение объектов GPO к объектам
каталога Active Directory позволяет создавать
эффективную и легко управляемую компьютерную
рабочую среду на базе ОС Windows. Политики
применяются сверху вниз по иерархии каталога
Active Directory.
Средства администрирования
Утилиты группы Administrative Tools
(Администрирование) входят в комплект поставки
операционных систем Server, Advanced Server и
Datacenter Server. Файл, необходимый для установки
этих утилит, называется adminpak.msi и
располагается в каталоге i386 на установочном
компакт-диске или в подкаталоге WINNT\SYSTEM32\
операционной системы. Этот 15-мегабайтный файл
устанавливает все необходимые оснастки и
регистрирует библиотеки DLL, необходимые для
использования средств администрирования. В
настоящее время установить утилиты группы
Administrative Tools (Администрирование) можно
только на платформе Windows 2000.
Применение групповых политик
Работая с групповыми политиками, следует
учитывать, что:

объекты GPO применяются в отношении
контейнеров, а не замыкающих объектов;

один контейнер может быть связан с
несколькими объектами GPO;

объекты GPO, связанные с одним и тем
же контейнером, применяются в
отношении этого контейнера в том
порядке, в котором они были назначены;

объект GPO включает в себя две
составляющие: параметры, относящиеся к
компьютеру, и параметры, относящиеся к
пользователю;

обработку любой из этих составляющих
можно отключить;

наследование объектов GPO можно
блокировать;

наследование объектов GPO можно
форсировать;

применение объектов GPO можно
фильтровать при помощи списков ACL.
38. Маршрутизация
и
удаленный
доступ.
Организация маршрутизации на сервере WS2003.
Маршрутизация (routing) — это процесс пересылки
данных между локальными вычис­
лительными сетями (ЛВС). В отличие от моста
(bridge), который обеспечивает связь
сетевых сегментов и совместный доступ к трафику с
использованием аппаратных адресов, маршрутизатор принимает и пересылает
трафик, ориентируясь на программные
адреса.
Служба Маршрутизация и удаленный доступ
(Routing and Remote Access, RRAS) в Windows
Server 2003 представляет собой программный
многопротокольный маршрутизатор, ко­
торый легко объединяется с другими функциями
Windows, такими как учетные записи
безопасности и групповые политики.
Во вновь установленной копии Windows Server 2003
служба Маршрутизация и удаленный
доступ отключена — ее активизируют с помощью
Мастера настройки сервера маршру­
тизации и удаленного доступа (Routing and Remote
Access Server Setup Wizard).
Консоль Маршрутизация и удаленный доступ
(Routing and Remote Access) — это стандарт
ный графический пользовательский интерфейс
пользователя для управления маршру­
тизацией в Windows Server 2003.
Параметры службы Маршрутизация и удаленный
доступ настраиваются в окне свойств
узла сервера в консоли Маршрутизация и удаленный
доступ. К этим параметрам относят­
ся: маршрутизация, вызов по требованию, включение
поддержки удаленного доступа,
конфигурация аутентификации, назначение адресов
пользователей, протокол РРР
(Point-to-Point Protocol) и особенности входа в
систему.
Маршрутизаторы считывают адреса назначения
пакетов и переправляют пакеты в соот­
ветствии с информацией, хранящейся в таблицах
маршрутизации. Отдельные записи таблицы
маршрутизации называются маршрутами (routes) —
они содержат ссылки на сети и узлы-адресаты.
Существуют три типа маршрутов:
• Маршрут узла (host route) — определяет ссылку на
определенный узел или широко­
вещательный адрес. В таблицах маршрутизации IP
такие маршруты обозначаются
маской подсети 255.255.255.255.
• Маршрут сети (network route) — определяет
маршрут к определенной сети, а соответ­
ствующее поле в таблицах IP-маршрутизации
может содержать любую маску подсе­
ти из диапазона 0.0.0.0-255.255.255.255.
• Маршрут по умолчанию (default route) — один
маршрут, по которому «уходят» все
пакеты, чей адрес назначения не совпадает ни с
одним адресом таблицы маршрути­
зации. В таблицах IP-маршрутизации такому
маршруту соответствует адрес 0.0.0.0 и
маска подсети 0.0.0.0.
Увидеть таблицу IP-маршрутизации можно в консоли
Маршрутизация и удаленный дос­
туп (Routing and Remote Access) или в командной
строке.
39. Контроллеры доменов, их функции и
назначения. Роли к-ров в АД. Репликация между
к-рами. Протоколы репликации.
Структура контроллеров домена. В операционной
системе главный контроллер домена является
единственным источником изменений содержимого
базы данных SAM. В системе Windows 2003
изменения в БД SAM вносятся без участия главных
контроллеров доменов, ибо данная ОС обеспечивает
мультисерверную репликацию данных AD. Но
основные контроллеры доменов тоже остаются.
Функционирование леса Windows 2003 требует
наличия контроллеров домена, выполняющих пять
функций или ролей — Operations Master roles.
Перечислим их: основной контроллер домена (PDC),
контроллер пула относительных идентификаторов
(Relative Identifier — RID — Pool), контроллер
инфраструктуры (Infrastructure), контроллер
именования доменов (Domain Naming) и контроллер
схемы (schema).
Роли Master PDC, RID Pool Master и Infrastructure
Operatons Master должны выполняться по меньшей
мере одним контроллером в каждом домене. Если
сервер, ответственный за выполнение одной из этих
ролей, выходит из строя, ее нужно вручную
возложить на другой контроллер домена. Смысл
роли Master PDC: если имеются резервные
контроллеры домена и клиенты младшей версии ОС
NT 4.0, контроллер домена Windows 2003, на
который возложена роль PDC, и будет основным
контроллером домена.
Роль RID Pool Master получила такое название от
идентификатора пользователя RID, который
является частью идентификатора Security ID, SID.
Поскольку в Windows 2003 допускается внесение
изменений в каталог любым контроллером домена,
без координации назначений относительных
идентификаторов новым объектам не обойтись.
Именно эту роль и выполняет RID Pool Master.
Infrastructure Operatons Master — процесс,
поддерживающий согласованность данных об
объектах, которые реплицируются между доменами
(это относится к общему каталогу, конфигурации
узлов и соединениям репликации).
Роли Domain Naming и Schema Masters выполняются
по меньшей мере на одном контроллере домена в
каждом лесу. Роль Domain Naming Master
гарантирует уникальность имени домена в
масштабах леса при добавлении новых доменов.
Роль Schema Master определяет, на каком
контроллере домена могут вноситься изменения в
схему каталога; понятно, что, если позволить вносить
изменения в схему каталога на нескольких
контроллерах домена, это может вызвать проблемы.
Структура и репликация. Физически информация
AD хранится на одном или нескольких равнозначных
контроллерах доменов, заменивших
использовавшиеся в Windows основной и резервные
контроллеры домена. Каждый контроллер домена
хранит копию данных AD, предназначенную для
чтения и записи. Изменения, сделанные на одном
контроллере, синхронизируются на все контроллеры
домена при репликации. Серверы, на которых сама
служба Active Directory не установлена, но которые
при этом входят в домен AD, называются рядовыми
серверами.
Репликация AD выполняется по запросу. Служба
KCC создаёт топологию репликации, которая
использует сайты, определённые в системе, для
управления трафиком. Внутрисайтовая репликация
выполняется часто и автоматически с помощью
средства проверки согласованности (уведомлением
партеров по репликации об изменениях). Репликация
между сайтами может быть настроена для каждого
канала сайта (в зависимости от качества канала) —
различная «оценка» (или «стоимость») может быть
назначена каждому каналу (например DS3, T1, ISDN
и т. д.), и трафик репликации будет ограничен,
передаваться по расписанию и маршрутизироваться
в соответствии с назначенной оценкой канала.
Данные репликации могут транзитивно передаваться
через несколько сайтов через мосты связи сайтов,
если «оценка» низка, хотя AD автоматически
назначает более низкую оценку для связей «сайтсайт», чем для транзитивных соединений.
Репликация сайт-сайт выполняется серверамиплацдармами в каждом сайте, которые затем
реплицируют изменения на каждый контроллер
домена своего сайта. Внутридоменная репликация
проходит по протоколу RPC по IP, междоменная —
может использовать также протокол SMTP.
Если структура Active Directory содержит несколько
доменов, для решения задачи поиска объектов
используется глобальный каталог: контроллер
домена, содержащий все объекты леса, но с
ограниченным набором атрибутов (неполная
реплика). Каталог хранится на указанных серверах
глобального каталога и обслуживает междоменные
запросы.
Возможность операций с одним главным
компьютером позволяет обрабатывать запросы,
когда репликация с несколькими главными
компьютерами недопустима. Есть пять типов таких
операций: эмуляция главного контроллера домена
(PDC-эмулятор), главный компьютер относительного
идентификатора (мастер относительных
идентификаторов или RID-мастер), главный
компьютер инфраструктуры (мастер
инфраструктуры), главный компьютер схемы (мастер
схемы) и главный компьютер именования домена
(мастер именования доменов). Первые три роли
уникальны в рамках домена, последние две —
уникальны в рамках всего леса. Базу AD можно
разделить на три логические хранилища или
«раздела». «Схема» является шаблоном для AD и
определяет все типы объектов, их классы и
атрибуты, синтаксис атрибутов (все деревья
находятся в одном лесу, потому что у них одна
схема). «Конфигурация» является структурой леса и
деревьев AD. «Домен» хранит всю информацию об
объектах, созданных в этом домене. Первые два
хранилища реплицируются на все контроллеры
доменов в лесу, третий раздел полностью
реплицируется между репликами контроллеров в
рамках каждого домена и частично — на сервера
глобального каталога.
40. Объекты Active Directory. Инструменты
управления объектами AD.
Active Directory (AD) имеет иерархическую структуру,
состоящую из объектов. Объекты разделяются на
три основные категории: ресурсы, службы и люди.
Каждый объект представляет отдельную сущность —
пользователя, компьютер, принтер, приложение или
общую сетевую папку — и его атрибуты. Объекты
могут также быть контейнерами для других объектов.
Объект уникально идентифицируется своим именем
и имеет набор атрибутов — характеристик и данных,
которые объект может содержать, — которые
зависят от типа объекта. Атрибуты являются
составляющей базовой структуры объекта и
определяются в схеме. Схема определяет, какие
типы объектов могут существовать в AD.
Сама схема состоит из двух типов объектов: объекты
классов схемы и объекты атрибутов схемы.
Каждый объект атрибута может быть использован в
нескольких разных объектах классов схемы. Эти
объекты называются объектами схемы и позволяют
изменять и дополнять схему, когда это необходимо.
Изменение объекта схемы автоматически
распространяется в Active Directory. Будучи однажды
созданным объект схемы не может быть удалён, он
может быть только деактивирован. Верхним уровнем
структуры является лес — совокупность всех
объектов, атрибутов объектов и правил (синтаксиса
атрибутов) в Active Directory. Лес содержит одно или
несколько деревьев, связанных транзитивными
отношениями доверия. Дерево содержит один или
несколько доменов, также связанных в иерархию
транзитивными отношениями доверия. Домены
идентифицируются своими структурами имён DNS —
пространствами имён.
Объекты в домене могут быть сгруппированы в
контейнеры — подразделения. Подразделения
позволяют создавать иерархию внутри домена,
упрощают его администрирование и позволяют
моделировать организационную и/или
географическую структуры компании в Active
Directory. Подразделения могут содержать другие
подразделения. Рекомендуется использовать как
можно меньше доменов, а для структурирования AD
и политик использовать подразделения. Групповые
политики сами являются объектами. Подразделение
является самым низким уровнем, на котором могут
делегироваться административные полномочия.
Другим способом деления AD являются «сайты»,
которые являются способом физической (а не
логической) группировки на основе подсетей IP.
Сайты подразделяются на имеющие подключения по
низкоскоростным каналам (например по каналам
глобальных сетей, с помощью виртуальных частных
сетей) и по высокоскоростным каналам (например
через локальную сеть). Сайт может содержать один
или несколько доменов, а домен может содержать
один или несколько сайтов. При проектировании
Active Directory важно учитывать сетевой трафик,
создающийся при синхронизации данных AD между
сайтами.
Администрирование Active Directory включает в себя
управление объектами домена и их свойствами.
Объекты, которые управляются в домене, включают
в себя учетные записи пользователей, групп,
компьютеров и OU. В отличие от NT 4, где мы
использовали один инструмент для управления
пользователями и группами (User Manager for Domain
(Диспетчер пользователей для домена)) и совсем
другой для учетных записей компьютера (Server
Manager (Диспетчер серверов)), в домене Windows
2003 все управление этими объектами
осуществляется при помощи инструмента,
называемую Active Directory Users and Computers
(Пользователи и компьютеры Active Directory),
оснастки ММС.
Инструменты работы с объектами AD:
Консоли ММС: Active Directory домены и доверие,
Active Directory пользователи и компьютеры, Active
Directory Сайты и службы, Схема Active Directory.
Консольные программы:dsadd, dsmod и т.п., csvde,
wmic.
Еще дополнительные инструменты, которые
можно найти на диске WS 2003:
Adsiedit.msc: используется для добавления,
перемещения и удаления объектов.
Dcdiag.exe: используется для определения состояния
контроллеров домена в лесу / предприятия.
Dfsutil.exe: Используется для управления
распределенной файловой системы (DFS).
Dsacls.exe: Используется для управления списки
управления доступом к объектам Active Directory.
Dsastat.exe: Для сравнения контекстов именования
на контроллерах домена.
Ldifde: используется для созд., удал. и изм. объектов
на компьютерах под управлением WXP и WS 2003.
Ldp.exe: Используется для выполнения LDAPзапросов к Active Directory.
Movetree.exe: используется для перемещения
объектов с одного домена на другой домен.
Netdom.exe: Может быть использован для
управления доменами и доверительными
отношениями.
Nltest.exe: Может быть использована для просмотра
информации о КД и репликациях.
Repadmin.exe: Используется для мониторинга,
диагностики, управления и воспроизведения
проблем.
Replmon.exe: Используется для мониторинга и
управления репликации с помощью GUI.
Sdcheck.exe: Отображает Дескриптор безопасности
для объектов Active Directory, и может быть
использовано для проверки ACL распространения,
тиражирования и списков управления доступом.
Setspn.exe: используется для просмотра, изменения
или удаления службы Высший названиям (SPN)
каталога собственности для обслуживания счета в
Active Directory.
Sidwalker.exe: используется для конфигурирования
списки управления доступом на объекты, которые
принадлежат либо перемещаются или удаляются
учетные записи.
41. Удаленное управление компьютером.
Сервер терминалов. Сеансы пользователей.
Управление многопользовательской средой.
Инструменты управления.
Терминальный сервер, сервер терминалов —
сервер, предоставляющий клиентам
вычислительные ресурсы для решения задач.
Технически, терминальный сервер представляет
собой очень мощный компьютер, соединенный по
сети с терминальными клиентами — которые, как
правило, представляют собой маломощные или
устаревшие рабочие станции или
специализированные решения для доступа к
терминальному серверу. Терминал сервер служит
для удалённого обслуживания пользователя с
предоставлением рабочего стола. В семействе
Windows 2000 Server был реализован набор
технологий, позволяющих выполнять удаленное
администрирование и совместно использовать
приложения с помощью Служб терминалов. В WS
2003 службы терминалов — неотъемлемый
компонент семейства, а инструмент Дистанционное
управление рабочим столом усовершенствован и
позиционируется как стандартная функция.
Достаточно одного щелчка мыши, и компьютер с WS
2003 будет параллельно обрабатывать до двух
подключений удаленного администрирования.
Добавив компонент Сервер терминалов и настроив
соответствующую лицензию, администратор
добьется еще большего эффекта: множество
пользователей смогут запускать приложения на
сервере.
Службы терминалов позволяют совместно
использовать приложения с помощью таких
инструментов, как Дистанционное управление
рабочим столом (Remote Desktop), Удаленный
помощник (Remote Assistance) и Сервер терминалов
(Terminal Server). Подключение к удаленному
рабочему столу (Remote Desktop Connection) — это
клиентское приложение, используемое для
подключения к серверу в контексте режима
Дистанционное управление рабочим столом (Remote
Desktop) или Сервер терминалов (Terminal Server).
Для клиента нет функциональных различий между
этими двумя конфигурациями сервера. На
компьютерах с Windows XP и Windows Server 2003
программа.
Параметры сервера
Параметры входа (Logon Settings)
Позволяет
задать статические реквизиты для подключения
вместо реквизитов, предоставляемых клиентом.
Сеансы (Sessions) Чтобы перекрыть настройки
клиента, задайте здесь параметры завершения
прерванного сеанса, ограничения длительности
сеанса и времени его простоя, а также допустимость
повторного подключения. Среда (Environment)
Перекрывает настройки из профиля пользователя
для данного подключения в отношении запуска
программы: здесь вы можете переопределить
запускаемую при подключении программу. Заданный
здесь путь и папка запуска приоритетнее настроек,
сделанных программой Подключение к удаленному
рабочему
столу.
Разрешения
(Permissions)
Позволяет задавать дополнительные разрешения
для данного подключения. Удаленное управление
(Remote Control) Указывает, можно ли удаленно
управлять сеансом Подключение к удаленному
рабочему столу, и если так, то должен ли
пользователь
выдавать
разрешение
на
инициализацию сеанса удаленного управления.
Дополнительные параметры позволяют ограничить
сеанс удаленного управления только функцией
просмотра либо разрешить полную интерактивность
с сеансом клиента Дистанционное управление
рабочим столом. Параметры клиента (Client
Settings)
Позволяют перекрыть параметры из
конфигурации клиента, изменить глубину цвета и
отключить различные коммуникационные порты
(порты ввода-вывода). Сетевой адаптер (Network
Adapters) Указывает, какие сетевые платы на
сервере будут принимать удаленные подключения
для администрирования. Общие (General) Задает
уровень
шифрования
и
механизм
проверки
подлинности для подключений к этому серверу.
Устранение неполадок при работе со
службами терминалов
• Сбои сети. Ошибки в работе стандартной
TCP/IP сети могут вызывать сбои или разрывы
подключений
Дистанционное
подключение
к
рабочему столу (Remote Desktop). Если не
функционирует служба DNS, клиент не сможет найти
сервер по имени. Если не функционирует
маршрутизация либо неверно настроен порт Служб
терминалов (Terminal Services) (по умолчанию это
порт 3389) на клиенте или сервере, соединение
установить не удастся.
• Реквизиты входа. Для успешного
подключения к серверу средствами программы
Удаленный рабочий стол для администрирования
пользователи должны быть включены в группу
Администраторы (Administrators) или Пользователи
удаленного рабочего стола (Remote Desktop Users).
Если подключиться через Удаленный рабочий стол
для администрирования не удается из-за запрета
доступа, проанализируйте членство в группах. В
предыдущих версиях Сервера терминалов (Terminal
Server) для подключения к серверу требовалось быть
участником группы Администраторы (Administrators),
хотя специальные разрешения можно было выдать
вручную. Сервер терминалов поддерживает только
два удаленных подключения.
• Политика.
Только администраторам
разрешено подключаться средствами программы
Дистанционное подключение к рабочему столу
(Remote Desktop) к контроллерам доменов. Чтобы
разрешить подключаться остальным пользователям,
нужно
настроить
политику
безопасности
на
контроллере домена.
• Слишком много параллельных подключений.
Если сеансы прерывались без выхода из системы,
сервер может посчитать, что достигнут предел
одновременно обрабатываемых подключений, даже
если в данный момент к серверу не подключены два
пользователя. Например, администратор может
завершить сеанс без выхода из системы. Если еще
два администратора попытаются подключиться к
серверу, это удастся только одному из них.
42. Сетевые службы Windows. Организация и
использование файлового сервера в сетях
Microsoft. Утилиты командной строки для
управления общими файловыми серверами.
Файловый сервер (File Server). Обеспечивает
централизованный доступ к файлам и
каталогам для пользователей, отделов и
организации в целом. Выбор этого варианта
позволяет управлять пользовательским дисковым
пространством путем включения и
настройки средств управления дисковыми квотами и
ускорить поиск в файловой
системе за счет активизации Службы
индексирования (Indexing Service).
Windows Server 2003 включает в себя следующие
функции по управлению файлами и дисками.
File Server Management (Управление файловым
сервером)
Вы можете использовать File Server Management для
выполнения ряда таких задач, как форматирование и
дефрагментация томов, создание и управление
общими ресурсами, установка квот, создание отчетов
об использовании хранилища, репликация данных с
файлового сервера и на него, управление Storage
Area Networks (SANs, Сети хранилищ данных) и
выделение файлов в общий доступ для систем UNIX
и Macintosh.
File Server Resource Manager (Управление
ресурсами файлового сервера)
Спрос на ресурсы хранилищ данных увеличивается,
так как сейчас организации зависят от информации
более тесно, чем когда-либо, - и системные
администраторы сталкиваются с требованием
обслуживать всё более и более объёмные и сложные
системы хранилищ, и в то же время отслеживать
содержащиеся в них различные типы информации.
File Server Resource Manager (Управление ресурсами
файлового сервера) - новая оснастка Microsoft
Management Console (MMC, Управляющей консоли
Microsoft), которая предоставляет администраторам
комплект инструментов для отслеживания, контроля
и управления количеством и типами информации,
хранящейся на серверах. Используя File Server
Resource Manager, администраторы могут задавать
квоты на папки и тома, оперативно
классифицировать и отбирать файлы и получать
исчерпывающие отчёты о хранилище.
Квоты File Server Resource Manager (Управление
ресурсами файлового сервера) в сравнении с
дисковыми квотами NTFS
Операционные системы Windows 2000 и Windows
Server 2003 поддерживают на томах NTFS дисковые
квоты, которые используются для отслеживания и
контроля над использованием диска
пользователями. В следующей таблице отражены
преимущества инструмента управления квотами File
Server Resource Manager.
Функции
File Server
Дисковые
квоты
Resource
квоты NTFS
Manager
Отслеж
По папкам или
По
ивание
по томам
пользовате
квоты
лю
относитель
но всего
тома
Оценка
Фактическое
Логический
загрузки
дисковое
размер
диска
пространство
файлов
Механиз
Электронная
Только
мы
почта,
журналы
уведомл
настраиваемый
событий
ения
отчёт,
выполнение
команд, журналы
событий
Microsoft Services for Network File System (Службы
Microsoft для Сетевой файловой системы)
Microsoft Services for Network File System (NFS,
Службы Microsoft для Сетевой файловой системы) это компонент Windows Server 2003 R2, который
обеспечивает общий доступ к файлам на
предприятиях, которые используют смешанную среду
из Windows и UNIX. Microsoft Services for Network File
System (NFS) позволяют пользователям передавать
файлы между компьютерами, работающими под
управлением Windows Server 2003 R2 и UNIX,
используя протокол Network File System (NFS).
Microsoft Services for NFS - это обновлённая версия
компонентов NFS, которые ранее были доступны в
составе Services for UNIX 3.5 (Служб для UNIX
версии 3.5). Microsoft Services for NFS включают
следующие новые функции:
поддержка 64-битной архитектуры. Microsoft Services
for NFS могут быть установлены на все издания
Windows Server 2003 R2, включая 64-х битные
версии;
обновлённая оснастка Microsoft Management Console
(MMC, Управляющей консоли Microsoft) для
администрирования Microsoft Services for NFS;
повышенная надёжность;
поддержка специальных устройств UNIX (mknod)
Microsoft Services for NFS позволяют поддерживать
смешанные среды, состоящие из операционных
систем семейств Windows и UNIX, а также
производить обновление компьютеров вашей
организации, поддерживая устаревшие технологии
на время переходной фазы. Ниже приведены
примеры сценариев того, какие преимущества может
получить предприятие от использования Microsoft
Services for NFS.
Обеспечить клиентам UNIX доступ к ресурсам,
которые находятся на компьютерах, работающих под
управлением Windows Server 2003 R2. Ваша
компания может иметь клиентов UNIX, имеющих
доступ к таким ресурсам, как файлы на файловых
серверах UNIX. Чтобы воспользоваться
преимуществами новых возможностей Windows
Server 2003 - таких, как Shadow Copies for Shared
Folders (Теневые копии общих папок) - вы можете
переместить ресурсы с серверов UNIX на
компьютеры, работающие под управлением Windows
Server 2003 R2, а затем установить Microsoft Services
for NFS для того, чтобы обеспечить доступ клиентам
UNIX, использующим NFS. Все клиенты UNIX смогут
получить доступ к ресурсам по протоколу NFS без
внесения каких-либо изменений.
Обеспечить компьютерам, работающим под
управлением Windows Server 2003 R2, доступ к
файловым серверам UNIX. Ваша компания может
иметь смешанную среду из Windows и UNIX и такие
ресурсы, как файлы, хранящимися на файловых
серверах UNIX. Вы можете использовать Microsoft
Services for NFS для того, чтобы обеспечить
компьютерам, работающим под управлением
Windows Server 2003 R2, доступ к ресурсам
файловых серверов, которые используют NFS.
Storage Management for SANs (Управление сетями
хранилищ данных)
Storage Management for SANs (Управление сетями
хранилищ данных) является новой оснасткой для
Microsoft Management Console (MMC, Управляющей
консоли Microsoft), которая поможет создавать и
управлять номерами логических устройств (LUNs) на
оптоволоконных каналах и дисковыми устройствами
iSCSI в вашей сети хранилищ данных. Данная
оснастка может быть использована для управления
подсистемами хранилищ, которые поддерживают
Virtual Disk Server (VDS, Виртуальные дисковые
сервера).
Используйте Storage Management for SANs для
создания и присвоения номеров логических
устройств (LUNs), управляйте соединениями между
LUN-ами и серверами в вашей SAN и устанавливайте
параметры безопасности для подсистемы хранилища
iSCSI.
43. Разграничение доступа к ресурсам файлового
сервера. Управление безопасностью общих
сетевых ресурсов. Инструменты разграничения
доступа.
Разрешения для общего ресурса
Чтение (Read)
Пользователи могут просматривать имена папок, а
также имена, содержимое и атрибуты файлов,
запускать программы и обращаться к другим папкам
внутри общей папки
Изменение (Change)
Пользователи могут создавать папки, добавлять
файлы и редактировать их содержимое, изменять
атрибуты файлов, удалять файлы и папки и
выполнять действия, допустимые разрешением
Чтение (Read)
Полный доступ (Full Control)
Пользователи могут изменять разрешения файлов,
становится владельцами файлов и выполнять все
действия, допустимые разрешением Изменение
(Change)
Разрешения общего ресурса можно предоставлять
или отменять. Действующим набором разрешений
общего ресурса называют сумму разрешений,
предоставленных пользователю и всем группам,
членом которых он является.
Разрешения общего ресурса определяют
максимальные действующие разрешения для всех
файлов и папок внутри общей папки. Назначая
разрешения NTFS для отдельных файлов и папок,
доступ можно ужесточить, но не расширить. Другими
словами, доступ пользователя к файлу или папке
определяется наиболее жестким набором из
разрешений общего ресурса и разрешений NTFS.
Если разрешения NTFS дают группе полный доступ к
папке, а разрешения общего ресурса остаются
стандартными — группе. Все (Everyone)
предоставлено разрешение Чтение (Read) или даже
Изменение (Change) — разрешения NTFS
ограничиваются разрешением общего ресурса. Этот
механизм означает, что разрешения общего ресурса
усложняют управление доступом к ресурсам. Это
одна из причин, по которой в организациях обычно
назначают общим ресурсам открытые разрешения:
группе Все (Everyone) дается разрешение Полный
доступ (Full Control), а для защиты папок и файлов
используют только разрешения NTFS.
NTFS — более продуманная система. Разрешения
NTFS обеспечивают надежный, безопасный способ
управления доступом к файлам и папкам.
Разрешения NTFS реплицируются, сохраняются при
архивировании и восстановлении тома данных,
подлежат аудиту и обеспечивают чрезвычайную
гибкость и удобство управления.
Использование разрешений общего ресурса для
решения реальных задач
Из-за этих ограничений разрешения общего ресурса
применяются только в очень редких случаях, когда
том отформатирован под файловую систему FAT или
FAT 32, которые не поддерживают разрешения
NTFS. Иначе, правило «реального мира» звучит так:
предоставьте группе Все (Everyone) разрешение
общего ресурса Полный доступ (Full Control), а для
ограничения доступа к содержимому общей папки
используйте разрешения NTFS.
Средства разграничения доступа:
- Ограничение физического доступа к серверам
- прямой вход в приложение
- использование ограничивающего командного
интерпретатора
- контроль переменной окружения PATH
- установка umask в профайлах пользователей
- разбиения пользователей на группы в соответствии
со служебными обязанностями
- использования списка управления доступом для
индивидуального задания прав
44. Службы каталогов, функции и
назначение. Служба каталогов Active Directory.
Компоненты структуры каталога.
Сети Microsoft Windows поддерживают две модели
служб каталогов: рабочую группу (workgroup) и домен
(domain). Для огранизаций, внедряющих Windows
Server 2003, модель домена наиболее
предпочтительна. Модель домена характеризуется
единым каталогом ресурсов предприятия — Active
Directory, — которому доверяют все системы
безопасности, принадлежащие домену. Поэтому
такие системы способны работать с субъектами
безопасности (учетными записями пользователей,
групп и компьютеров) в каталоге, чтобы обеспечить
защиту ресурсов. Служба Active Directory, таким
образом, играет роль идентификационного
хранилища и сообщает «кто есть кто» в этом домене.
Впрочем, Active Directory — не просто база данных.
Это коллекция файлов, включая журналы транзакций
и системный том ( Sysvol ), содержащий сценарии
входа в систему и сведения о групповой политике.
Это службы, поддерживающие и использующие БД,
включая протокол LDAP (Lightweight Directory Access
Protocol), протокол безопасности Kerberos, процессы
репликации и службу FRS (File Replication Service).
БД и ее службы устанавливаются на один или
несколько контроллеров домена. Контроллер домена
назначается Мастером установки Active Directory,
который можно запустить с помощью Мастера
настройки сервера (как вы сделаете в упражнении 2)
или командой DCPROMO из командной строки.
После того как сервер становится контроллером
домена, на нем хранится копия (реплика) Active
Directory, и изменения БД на любом контроллере
реплицируются на все остальные контроллеры
домена.
Домены, деревья и леса Active Directory не может
существовать без домена и наоборот. Домен — это
основная административная единица службы
каталогов. Однако предприятие может включить в
свой каталог Active Directory более одного домена.
Когда несколько моделей доменов совместно
используют непрерывное пространство имен DNS,
они образуют логические структуры, называемые
деревьями (tree). Например, домены contoso.com ,
us.contoso.com и europe.contoso.com совместно
используют непрерывное пространство имен DNS и,
следовательно, составляют дерево.
Домены Active Directory с разными корневыми
доменами образуют несколько деревьев. Они
объединяются в самую большую структуру Active
Directory — лес (forest). Лес Active Directory содержит
все домены в рамках службы каталогов. Лес может
состоять из нескольких доменов в нескольких
деревьях или только из одного домена. Когда
доменов несколько, приобретает важность компонент
Active Directory, называемый глобальным каталогом
(global catalog): он предоставляет информацию об
объектах, расположенных в других доменах леса.
Объекты и организационные подразделения
Ресурсы предприятия представлены в Active
Directory в виде объектов или записей в БД. Каждый
объект характеризуется рядом атрибутов или
свойств. Например, у пользователя есть атрибуты
имя пользователя и пароль, у группы — имя группы и
список пользователей, которые в нее входят. Для
создания объекта в Active Directory откройте консоль
derive Directory — пользователи и компьютеры (Active
Directory Users And Computers) в группе программ
Администрирование (Administrative Tools). Раскройте
домен, чтобы увидеть его контейнеры и
организационные подразделения. Щелкните
контейнер или ОП правой кнопкой и в контекстном
меню выберите Создать (New) тип_объекта.
Служба Active Directory способна хранить миллионы
объектов, включая пользователей, группы,
компьютеры, принтеры, общие папки, сайты, связи
сайтов, объекты групповой политики (ОГП) и даже
зоны DNS и записи узлов. Можно представить, в
какой кошмар превратился бы доступ к каталогу и его
администрирование без определенной структуры.
Структура — цель введения характерного
типа объекта, называемого организационным
подразделением (organizationunit, OU). ОП
представляют собой контейнеры внутри домена,
позволяющие группировать объекты, управляемые
или настраиваемые одинаковым образом. Однако
задача ОП — не только организовать объекты Active
Directory, они обеспечивают важные возможности
управления, поскольку образуют точку, куда могут
делегироваться функции управления и с которой
можно связать групповые политики.
45. Управление пользователями в ОС. Основные
задачи администрирования пользователей.
Понятие учетной записи. Доменные и локальные
учетные записи.
Active Directory требует, чтобы перед разрешением
доступа к ресурсам проводилась проверка
подлинности пользователя на основе его учетной
записи, которая содержит имя для входа в систему,
пароль и уникальный идентификатор безопасности
(security identifier, SID). В процессе входа в систему
Active Directory проверяет подлинность имени и
пароля. После этого подсистема безопасности может
создать маркер доступа, представляющий этого
пользователя. В маркере доступа содержатся SID
учетной записи пользователя и SID всех групп, к
которым относится пользователь. При помощи этого
маркера можно проверить назначенные
пользователю права, в том числе право локально
входить в систему, а также разрешить или запретить
доступ к ресурсам, защищенным таблицами
управления доступом (access control list, ACL).
Учётная запись — запись, содержащая сведения,
которые пользователь сообщает о себе
некоторой компьютерной системе.
Учетная запись пользователя – запись в
специализированной БД, которая содержит
информацию о пользователях информационной
системы. Используется для регистрации
пользователя в системе и проверке и обеспечении
доступа к компонентам информационной системы.
Характеризуется атрибутами.
Локальные учетные записи – учетные записи,
доступные лишь на том компьютере, на котором
они размещаются. Кроме того, локальные учетные
записи пользователей могут существовать лишь
на рабочих станциях и на особых серверах (member
server). Контроллеры домена не допускают
существование локальных учетных записей
пользователей.
Доменная учетная запись – это учетная запись,
которой предоставляют права и разрешения в
масштабах домена. Два наиболее важных
применения доменных учетных записей —
аутентификация пользователей и разрешение или
отказ в доступе к ресурсам домена. Аутентификация
позволяет пользователям регистрироваться на
компьютерах и в доменах с характеристиками,
подлинность которых установлена службами домена.
Домен разрешает или запрещает доступ к доменным
ресурсам на основании разрешений, получаемых
пользователем через членство в одной или
нескольких доменных группах.
Задачи администрирования:

управление учетными записями пользователей

управление доступом к ресурсам

обеспечение сохранности, секретности и
актуальности данных

установка и сопровождение ПО и железа.
Задачи администрирования учетных записей:
создание, удаление, изменение, настройка политик
безопасности, блокировка и разблокировка.
Пользователь – физ. лицо, имеющее доступ к
определенным ресурсам ИВС. Оно идентифицируется
учетной записью.
46. Обеспечение ИБ в сетях
Основными задачами являются идентификация,
аутентификация, разграничение доступа
пользователей к ресурсам, протоколирование и
аудит самой системы.
Идентификация и аутентификация Обычно
каждый пользователь в системе имеет уникальный
идентификатор. Идентфикаторы пользователей
применяются с теми же целями, что и
идентификаторы любых других объектов, файлов,
процессов. Идентификация заключается в
сообщении пользователем своего идентификатора.
Для того чтобы установить, что пользователь
именно тот, за кого себя выдает, то есть что именно
ему принадлежит введенный идентификатор, в
информационных системах предусмотрена
процедура аутентификации (authentication,
опознавание, в переводе с латинского означает
установление подлинности), задача которой предотвращение доступа к системе нежелательных
лиц.
Обычно аутентификация базируется на одном или
более из трех пунктов: то, чем пользователь владеет
(ключ или магнитная карта), то, что пользователь
знает (пароль), атрибуты пользователя (отпечатки
пальцев, подпись, голос).
Пароли, уязвимость паролей. Наиболее простой
подход к аутентификации - использование
пользовательского пароля. Проблемы паролей
связаны с трудностью хранить пароль в секрете.
Есть два общих способа угадать пароль. Один для
нарушителя, который знает пользователя или
информацию о пользователе. Люди обычно
используют очевидную информацию в качестве
паролей.
Другой способ - грубой силы - попытаться перебрать
все возможные комбинации букв, чисел и пунктуации.
Хотя имеются проблемы с их использованием,
пароли, тем не менее, распространены, так как они
легки для понимания и использования.
Шифрование пароля. Для хранения секретного
списка паролей на диске многие ОС используют
криптографию. В процессе аутентификации
представленный пользователем пароль кодируется и
сравнивается с хранящимися на диске. Т.о., файл
паролей нет необходимости держать в секрете.
Одним из типовых решений является использование
криптографических протоколов. В качестве примера
можно рассмотреть протокол опознавания с
подтверждением установления связи путем вызова CHAP (Challenge Handshake Authentication Protocol).
Опознавание достигается за счет проверки того, что
у пользователя, осуществляющего доступ к серверу,
имеется секретный пароль, который уже известен
серверу.
Авторизация. Разграничение доступа к объектам
ОС. После того, как легальный пользователь вошел в
систему необходимо осуществить авторизацию предоставление субъекту прав на доступ к объекту.
Как уже говорилось, компьютерная система может
быть смоделирована как набор субъектов (процессы,
пользователи) и объектов. Под объектами мы
понимаем как ресурсы оборудования (процессор,
сегменты памяти, принтер, диски и ленты), так и
программные (файлы, программы, семафоры).
Каждый объект имеет уникальное имя, отличающее
его от других объектов в системе, и каждый из них
может быть доступен через хорошо определенные и
значимые операции. Объекты - абстрактные типы
данных.
Операции зависят от объектов. Hапример,
процессор может только выполнять команды.
Сегменты памяти могут быть записаны и прочитаны,
тогда как считыватель карт может только читать.
Файлы данных могут быть записаны, прочитаны,
переименованы и т.д.
Очевидно, что процессу может быть разрешен
доступ только к тем ресурсам, к которым он имеет
авторизованный доступ. Желательно добиться того,
чтобы он имел доступ только к тем ресурсам,
которые ему нужны для выполнения его задачи. Это
требование имеет отношение только к принципу
минимизации привилегий, полезному с точки зрения
ограничения количества повреждений, которые
процесс может нанести системе. Hапример, когда
процесс P вызывает процедуру А, ей должен быть
разрешен доступ только к переменным и
формальным параметрам, переданным ей, она
должна быть не в состоянии влиять на другие
переменные процесса. Аналогично компилятор не
должен оказывать влияния на произвольные файлы,
а только на их хорошо определенное подмножество
(типа исходных файлов, листингов и др.), имеющих
отношение к компиляции. С другой стороны,
компилятор может иметь личные файлы,
используемые для оптимизационных целей, к
которым процесс Р не имеет доступа.
Различают дискреционный (избирательный)
способ управления доступом и полномочный
(мандатный). При дискреционном доступе
определенные операции над определенным
ресурсом запрещаются или разрешаются субъектам
или группам субъектов. С концептуальной точки
зрения текущее состояние прав доступа при
дискреционном управлении описывается матрицей, в
строках которой перечислены субъекты, а в столбцах
- объекты.
Полномочный подход заключается в том, что
вся информация делится на уровни в зависимости от
степени секретности, а все пользователи также
делятся на группы, образующие иерархию в
соответствии с уровнем допуска к этой информации.
Большинство операционных систем реализуют
именно дискреционное управление доступом.
Главное его достоинство - гибкость, главные
недостатки - рассредоточенность управления и
сложность централизованного контроля, а также
оторванность прав доступа от данных, что позволяет
копировать секретную информацию в
общедоступные файлы.
47. Управление доступом к данным. Списки прав
доступа к объектам ОС
Существует несколько моделей предоставления
прав доступа к файлам и другим объектам. Наиболее
простая модель используется в системах семейства
Unix.
В этих системах каждый файл или каталог имеют
идентификаторы хозяина и группы. Определено три
набора прав доступа: для хозяина, группы (т.е., для
пользователей, входящих в группу, к которой
принадлежит файл) и всех остальных. Пользователь
может принадлежать к нескольким группам
одновременно, файл всегда принадлежит только
одной группе.
Бывают три права: чтения, записи и исполнения. Для
каталога право исполнения означает право на поиск
файлов в этом каталоге. Каждое из прав
обозначается битом в маске прав доступа, т.е. все
три группы прав представляются девятью битами
или тремя восьмеричными цифрами.
Многие современные системы, не входящие в
семейство Unix, а также и некоторые версии Unix,
например, HP/UX или SCO UnixWare 2.x, используют
более сложную и гибкую систему управления
доступом, основанную на списках управления
доступом (Access Control Lists - ACL). С каждым
защищаемым объектом, кроме идентификатора его
хозяина, связан список записей. Каждая запись
состоит из идентификатора пользователя или группы
и списка прав для этого пользователя или группы.
Понятие группы в таких системах не играет такой
большой роли, как в Unix, а служит лишь для
сокращения ACL, позволяя задать права для многих
пользователей одним элементом списка.
Обычно список возможных прав включает в себя
право на изменение ACL. Таким образом, не только
хозяин объекта может изменять права доступа к
нему. Это право может быть дано и другим
пользователям системы или даже группам
пользователей, если это окажется для чего-то
необходимо.
Однако за дополнительную гибкость приходится
платить снижением производительности. В системах
семейства Unix проверка прав доступа
осуществляется простой битовой операцией над
маской прав. В системах же, использующих ACL,
необходим просмотр списка, который может занять
намного больше времени.
В современных системах накладные расходы,
связанные с использованием ACL, считаются
достаточно малыми, поэтому эта модель
распределения прав приобретает все большую
популярность.
Кроме прав доступа к объектам, система должна
управлять выдачей некоторых привилегий. Так, для
выполнения резервного копирования и
восстановления файлов необходим пользователь,
способный осуществлять доступ к файлам и
операции на ними, не обращая внимания на права
доступа.
Во всех системах необходимы пользователи,
имеющие право изменять конфигурацию системы,
заводить новых пользователей и группы и т.д. Если
система обеспечивает запуск процессов реального
времени, создание таких процессов тоже должно
контролироваться, поскольку процесс РВ имеет
более высокий приоритет, чем все процессы
разделенного времени, и может, просто не отдавая
процессор, заблокировать все остальные задачи.
В большинстве современных многопользовательских
ОС, не входящих в семейство Unix, с каждым
пользователем ассоциирован список привилегий,
которыми этот пользователь обладает. В системах
семейства Unix все гораздо проще: обычные
пользователи не обладают никакими привилегиями.
Для выполнения привилегированных функций
существует пользователь c численным
идентификатором 0 - суперпользователь (superuser),
который обладает всеми мыслимыми правами,
привилегиями и атрибутами.
Система списков привилегий предоставляет
большую гибкость, чем один
сверхпривилегированный суперпользователь, потому
что позволяет администратору системы передать
часть своих функций, например выполнение
резервного копирования, другим пользователям, не
давая им при этом других привилегий. Однако, как и
ACL, эта схема приводит к большим накладным
расходам при контроле прав доступа: вместо
сравнения идентификатора пользователя с нулем мы
должны сканировать список привилегий, что
несколько дольше.
В некоторых ситуациях нужен более тонкий контроль
за доступом, чем управление доступом на уровне
файлов. Например, для изменения информации о
пользователе необходим доступ на запись к
соответствующей базе данных, но не ко всей, а
только к определенной записи. Вполне естественно и
даже необходимо дать пользователю возможность
менять пароль, не обращаясь к администратору. С
другой стороны, совершенно недопустима
возможность менять пароли других пользователей.
Одним из решений было бы хранение пароля для
каждого из пользователей в отдельном файле, но это
во многих отношениях неудобно. Другое решение
может состоять в использовании модели клиентсервер с процессом-сервером, исполняющимся с
привилегиями администратора, который является
единственным средством доступа к паролям.
Например, в Windows NT весь доступ к
пользовательской базе данных осуществляется
через системные вызовы, то есть функции процессасервера исполняет само ядро системы. Этот подход
позволяет решить проблему контроля доступа
именно к пользовательской базе данных, но
аналогичная проблема возникает и в других
ситуациях.
В системах семейства Unix для этой цели был
предложен оригинальный механизм, известный как
setuid (setting of user id - установка [эффективного]
идентификатора пользователя).
48. Создание и редактирование объектов
групповой политики. Инструменты управления
групповыми политиками.
При необходимости вы можете устанавливать
политики для всего дерева доменов. Различные
контроллеры в пределах одного домена могут
обладать индивидуальными политиками
безопасности. Установив политику безопасности в
одном месте, администраторы могут контролировать
безопасность всех серверов и рабочих станций
домена. Политики безопасности в W2000
реализуются с помощью средств групповых политик.
Групповая политика имеет следующие
преимущества:
Основываясь на службе Active Directory системы
Windows 2000, позволяет как централизованно, так и
децентрализовано управлять параметрами политики.
Обладает гибкостью и масштабируемостью. Может
быть применена в широком наборе конфигураций
системы, предназначенных как для малого бизнеса,
так и для больших корпораций.
Предоставляет интегрированный инструмент
управления политикой с простым и хорошо понятным
интерфейсом — оснастку консоли управления
Групповая политика (Group Policy).
Обладает высокой степенью надежности и
безопасности.
Групповые политики расширяют и используют
преимущества Active Directory. Их настройки
находятся в объектах групповых политик, которые в
свою очередь ассоциируются с такими контейнерами
Active Directory, как сайты, домены и подразделения
(организационные единицы).
Политики безопасности Windows 2000
хранятся в двух типах объектов GPO: локальном
объекте групповой политики и объекте групповой
политики домена.
После создания GPO ассоциируется с определенным
контейнером Active Directory, и в результате
групповые политики, хранящиеся в данном GPO,
будут выполняться для всех компьютеров и
пользователей, находящихся в этом контейнере.
Дополнительными средствами настройки групповых
политик в контейнере являются группы безопасности
и дискреционные разрешения доступа.
Для запуска оснастки Групповая политика в виде
изолированной оснастки:
Необходимо иметь работающий контроллер домена
Windows 2000. Пользователь, который создает
групповую политику, должен обладать правами на
чтение и запись в системный том контроллеров
домена (папка Sysvol). Кроме того, он должен иметь
право модификации выбранного контейнера Active
Directory.
После запуска оснастки Групповая политика в окне
структуры появляется набор узлов, которые
являются расширениями этой оснастки. По
умолчанию все расширения загружаются в процессе
запуска оснастки. Однако их состав можно изменить
с помощью средств создания индивидуальной
конфигурации консоли ММС и с помощью политик,
определяющих работу самой консоли. Подход,
предполагающий применение расширений,
позволяет пользователям создавать свои
собственные расширения оснастки Групповая
политика, наделяя ее способностью устанавливать
дополнительные групповые политики. Любое
расширение может в свою очередь состоять из
расширений, поэтому оснастка Групповая политика
— чрезвычайно гибкий инструмент, который можно
сконфигурировать для конкретной компьютерной
среды.
Расширения оснастки Групповая политика
Ниже родительских узлов Конфигурация компьютера
и Конфигурация пользователя находятся дочерние
узлы, каждый из которых является полноценным
расширением оснастки Групповая политика. Они
могут находиться в обоих родительских узлах, хотя и
с различными параметрами, или индивидуально
расширять узлы Конфигурация компьютера или
Конфигурация пользователя.
Ограничение влияния настроек групповой
политики
Как уже говорилось, все компьютеры и пользователи,
находящиеся в определенном контейнере,
подпадают под влияние групповых политик,
настройки которых находятся в GPO, связанном с
данным контейнером. Для более тонкой настройки
влияния определенного объекта групповой политики
на группы пользователей и компьютеров применяют
группы безопасности. Они не могут быть связаны с
GPO, но с помощью вкладки Безопасность окна
свойств объекта групповой политики можно задать,
будет ли данный GPO влиять на членов
определенной группы безопасности.
Обратите внимание, что фильтрация влияния
политик безопасности может быть выполнена только
с помощью групп безопасности. Группы дистрибуции
(distribution groups) для этого не подходят.
Следует очень хорошо осмыслить факт влияния
групповых политик на группы безопасности! Хотя, как
указывается в любой документации от Microsoft,
относящейся к групповым политикам, "групповые
политики (различные GPO) могут распространять
свое влияние на сайты, домены и подразделения" —
т. е. на контейнеры Active Directory, однако,
используя механизмы безопасности, можно
построить систему групповых политик,
ориентированную на группы. Например, можно
создать несколько политик на уровне домена и
разрешить применение каждой из политик только к
отдельным группам (при этом нужно в каждой
политике удалить или запретить подключаемую по
умолчанию группу Прошедшие проверку
(Authenticated Users), в которую попадаются все
пользователи). Иногда такой подход может оказаться
весьма полезным и гибким.
С помощью инструментов управления Active Directory
администратор может делегировать другим
пользователям и группам право управления частью
каталога. По умолчанию правом редактирования
GPO обладают администраторы домена,
администраторы предприятия и операционная
система.
49. Шаблоны безопасности. Примеры шаблонов.
Управление политикой безопасности.
Оснастка Шаблоны безопасности (Security Templates)
— этот инструмент позволяет определять
конфигурации безопасности, не зависящие от
машины, которые хранятся в виде текстовых файлов.
С помощью оснастки Шаблоны безопасности
можно конфигурировать:
1. Политики безопасности учетных записей. Здесь
вы сможете настроить такие параметры
безопасности, как политика паролей, политика
блокировки паролей и т. д.
2. Локальные политики. Здесь можно настроить
параметры безопасности, касающиеся политики
аудита, прав пользователей и индивидуальных
параметров безопасности конкретной машины
Windows 2000. Большинство этих параметров
безопасности соответствуют значениям переменных
реестра.
3. Журнал событий. Здесь настраиваются
параметры, определяющие работу журналов
системы, безопасности, приложений и службы
каталогов.
4. Группы с ограниченным доступом. Параметры,
определяющие членство в группах, включая
поддержку встроенных групп контроллеров домена.
5. Системные службы. Здесь можно настроить
параметры безопасности, касающиеся режима
загрузки и управления доступом для всех системных
служб, а также параметры, определяющие
безопасность редиректора и сервера.
6. Реестр. Можно управлять доступом к разделам
реестра системы.
7. Файловая система. Можно настроить параметры
управления доступом к файлам и папкам локальных
томов файловой системы и деревьев каталога.
Значения параметров всех перечисленных выше
областей обеспечения безопасности заносятся в
текстовые файлы с расширением inf, называемые
шаблонами безопасности. С их помощью можно
конфигурировать систему. Кроме того, при анализе
безопасности системы шаблоны могут быть
использованы в качестве рекомендованной
конфигурации.
Информация о конфигурации безопасности
расположена в нескольких разделах. Вся
информация шаблонов обрабатывается ядром
оснастки Шаблоны безопасности.
Оснастка Шаблоны безопасности располагает
набором созданных заранее шаблонов безопасности.
По умолчанию они хранятся в папке %SystemRoot%
\Security\Templates. Они могут быть
модифицированы с помощью этой оснастки и
импортированы в расширение Параметры
безопасности (Security Settings) оснастки Групповая
политика. Заранее определенные компанией
Microsoft конфигурации безопасности делятся на
следующие типы:
1. Базовая (Basic). Это набор настроек безопасности,
генерируемых по умолчанию на рабочих станциях,
серверах и контроллерах доменов при
первоначальной установке Windows 2000. Базовая
конфигурация в основном служит для того, чтобы
прекращать действие более жестких типов
конфигураций безопасности. Операционная система
Windows 2000 содержит три базовых шаблона
безопасности:
basicwk.inf — для рабочих станций
basicsv.inf — для серверов
basicdc.inf — для контроллеров доменов
Базовые шаблоны безопасности содержат настройки
параметров безопасности, устанавливаемые по
умолчанию для всех обл. безопасности, за
исключением прав пользователя и групп.
2. Совместимая. Эти настройки безопасности
генерируются в системах, где не требуются жесткие
меры безопасности, и где работают устаревшие
программные продукты. compatws.inf.
3. Защищенная. Обеспечивает более
надежную безопасность по сравнению с совместимой
конфигурацией. Она содержит жесткие настройки
безопасности для политики учетных записей, аудита
и некоторых широко используемых разделов
реестра. securews.inf и securedc.inf.
4. Сильно защищенная. Эта конфигурация
позволяет получить идеально защищенную систему
Windows 2000, не учитывающую функциональность
приложений. Подобная конфигурация при обмене
информацией предполагает обязательное
использование электронной подписи и шифрования,
которое обеспечивается только средствами Windows
2000. Сильно защищенную конфигурацию можно
применять в системах, где работают приложения,
предназначенные для функционирования в среде с
усиленной системой безопасности. hisecws.inf и
hisecdc.inf.
50. Утилиты командной строки для управления
удаленным компьютером.
Утилита Dsadd
Утилита Dsadd добавляет в AD наиболее
общие типы объектов: пользователей, компьютеры,
группы (безопасности и маршрутизации),
организационные единицы и даже контакты. Можно
указывать многие общие атрибуты для добавления
объектов, но эта команда не поддерживает все
возможные объекты.
Чтобы добавить организационную единицу в
BigTex.net, нужно ввести весь следующий текст в
одной строке: dsadd ou OU=roughnecks,
DC=bigtex,DC=net -desc «Oilfield Roughnecks»
Чтобы добавить группу в новую организационную
единицу, следует ввести: dsadd group
CN=goodolboys, OU=roughnecks,DC=bigtex, DC=net secgrp yes
В процессе создания группы в нее с помощью ключа
-members можно добавлять пользователей,
одновременно делая их членами других групп с
помощью ключа -memberof. Для того чтобы добавить
в новую группу пользователя по имени Jim Bob,
требуется ввести:
dsadd user «CN=James Robert,
CN=Users,DC=bigtex,DC=net»-samid JIMBOB-upn
jimbob@bigtex.net-fn James -ln Robert -empid 123456 pwd n0tsecure! -mustchpwd yes -memberof
CN=goodolboys, OU=roughnecks,DC=bigtex, DC=net
Утилита Dsquery. При помощи двух новых утилит
командной строки можно получать информацию о
объектах: сайтах, подсетях, серверах, компьютерах,
организационных единицах, группах, пользователях
и контактах. Dsquery предназначена для
расширенного поиска и поддерживает использование
шаблонов (*) для поиска любых объектов,
удовлетворяющих заданному критерию. Утилита
Dsget более специфична. Она служит для просмотра
свойств конкретных объектов в AD.
Синтаксис Dsquery.
dsquery * [{StartNode | forestroot | domainroot}]
[-scope {subtree | onelevel | base}] [-filter
LDAPFilter]
[-attr {AttributeList | *}] [-attrsonly] [-l]
Утилита Dsget. С помощью утилиты Dsget можно
узнать определенные свойства объектов AD. Как и во
всех других случаях, в этой утилите командной
строки, относящейся к AD, выбор объекта
осуществляется по его DN. dsget user «cn=James
Robert, OU=roughnecks,DC=bigtex, DC=net» pwdneverexpires
Утилита Dsmod. Утилита Dsmod изменяет
существующие в AD учетные записи пользователей,
группы, организационные единицы и контакты.
Например, можно изменить членство в группе и ее
тип. С помощью параметра OU утилиты Dsmod —
параметра менее полезного, чем остальные, —
можно лишь изменить описание организационной
единицы. Для того чтобы восстановить пароль
пользователя по имени Jim Bob и заставить его
сменить пароль при следующей регистрации, нужно
ввести:
dsmod user «CN=James Robert,
CN=Users,DC=bigtex,DC=net» -pwd Uf@tfingeredIt mustchpwd yes
Ели необходимо заблокировать учетную запись
данного пользователя, следует ввести:
dsmod user «CN=James Robert,
CN=Users,DC=bigtex,DC=net» -disabled yes
Для того чтобы восстановить учетную запись, нужно
ввести:
dsmod computer CN=JimBobsPC,
CN=goodolboys,CN=roughnecks, DC=bigtex,DC=net reset
Чтобы изменить тип группы GoodOlBoys с
глобального на универсальный, необходимо ввести:
dsmod group CN=GoodOlBoys,
CN=roughnecks,DC=bigtex, DC=net -scope u
Утилита Dsmove. Утилита Dsmove перемещает
объект в пределах домена. Dsmove имеет два ключа:
-newname и -newparent. В следующем примере
показано, как использовать ключ -newname для
переименования объекта:
dsmove CN=sdeuby,CN=users, CN=bigtex,CN=com newname "CN=Sean Deuby"
Для переименования объекта с ключом newname нужно указывать только относительное
отличительное имя объекта, а не DN целиком. Если
требуется переместить объект SDeuby в
подразделение Roughnecks того же домена, следует
использовать ключ -newparent, как показано в
следующем примере:
dsmove CN=sdeuby,CN=users, CN=bigtex,CN=com newparent OU=roughnecks, DC=bigtex,DC=net
В этом случае необходимо точно указать
перемещаемому объекту его место назначения,
вводя полное имя DN родительского объекта
назначения (организационная единица Roughnecks в
Bigtex.net).
Утилита Dsrm. В отличие от других DS-утилит, Dsrm
довольно проста: она удаляет объект AD,
отличительное имя DN которого было указано.
Помимо параметров для альтернативных учетных
данных и серверных подключений, общих для всех
этих инструментов, Dsrm имеет только два
параметра. Параметр -subtree означает, что
требуется удалить как сам объект, так и все объекты,
стоящие ниже его в иерархии. Если параметр subtree не используется, Dsrm удаляет только
объект. Переключатель -exclude параметра -subtree
сохраняет объект и удаляет все объекты ниже его в
иерархии. Параметр -noprompt отключает запрос на
подтверждение удаления. Например, команда
dsrm OU=roughnecks,DC=bigtex, DC=net -subtree –
exclude -noprompt
удаляет все объекты в организационной единице
Roughnecks, но саму организационную единицу
оставляет без изменения.
51. Серверы БД. СУБД.
База данных (БД) - это поименованная совокупность
структурированных данных, относящихся к
определенной предметной области.
Система управления базами данных (СУБД) - это
комплекс программных и языковых средств,
необходимых для создания баз данных, их
поддержания в актуальном состоянии и организации
в них поиска необходимой информации.
Функции, структура и основные характеристики
СУБД К основным функциям СУБД принято относить
следующие: управление данными во внешней
памяти; управление буферами оперативной памяти;
управление тран.; журнализация и восстановление
БД после сбоев; поддержка языков БД.
Управление данными во внешней памяти включает
обеспечение необходимых структур внешней памяти
как для хранения данных, непосредственно
входящих в базу данных, так и для служебных целей.
Управление буферами оперативной памяти. Система
буферов и их замены в оперативной памяти.
Управление транзакциями. Транзакция - это
последовательность операций над БД,
рассматриваемых СУБД как единое целое.
Журнализация и восстановление БД после сбоя.
Одним из основных требований к СУБД является
надежность хранения данных во внешней памяти.
Под надежностью хранения понимается то, что СУБД
должна быть в состоянии восстановить последнее
целостное состояние БД после любого аппаратного
или программного сбоя. Обычно рассматриваются
два возможных вида аппаратных сбоев: так
называемые мягкие сбои, которые можно трактовать
как внезапную остановку работы компьютера,
например, аварийное выключение питания, и
жесткие сбои, характеризуемые потерей информации
на носителях внешней памяти. В любом из
описанных случаев для восстановления БД нужно
располагать некоторой избыточной информацией.
Наиболее распространенным методом
формирования и поддержания изб. информации
является ведение журнала изменений БД.
Журнал - это специальная служебная часть
БД, недоступная пользователям, в которую
поступают записи обо всех изменениях основной
части БД. В виду особой важности этой информации
для восстановления целостности базы данных после
сбоев, важно обеспечить сверхнадежное её
хранение. В некоторых СУБД поддерживаются две
копии журнала, располагаемые на разных
физических дисках. В разных СУБД изменения БД
фиксируются на разных уровнях: иногда запись в
журнале соответствует некоторой логической
операции изменения БД, например, удаление строки
из таблицы реляционной БД, иногда - минимальной
внутренней операции модификации страницы
внешней памяти, а иногда одновременно
используются оба подхода. Во всех случаях
придерживаются стратегии упр. записи в журнал.
При мягком сбое во внешней памяти основной
части БД могут находиться объекты,
модифицированные транзакциями, не
закончившимися к моменту сбоя, и могут
отсутствовать объекты, модифицированные
транзакциями, которые к моменту сбоя успешно
завершились из-за использования буферов
оперативной памяти, содержимое которых в этой
ситуации пропадает.
Для восстановления БД после жесткого сбоя
используют журнал и архивную копию БД. Архивная
копия является полной копией БД к моменту начала
заполнения журнала. Восстановление БД состоит в
том, что, исходя из архивной копии, по журналу
воспроизводится работа всех транзакций, которые
закончились к моменту сбоя.
В ранних СУБД поддерживалось несколько
специализированных по своим функциям языков.
Чаще всего выделялись два языка - язык
определения схемы БД (SDL - Schema Definition
Language) и язык манипулирования данными (DML Data Manipulation Language). SDL служил, главным
образом, для определения логической структуры БД,
какой она представляется пользователям. DML
содержал набор операторов манипулирования
данными, позволяющих вводить, удалять,
модифицировать и выбирать данные. В современных
СУБД, обычно, поддерживается единый
интегрированный язык, содержащий все
необходимые средства для работы с БД и
обеспечивающий базовый пользовательский
интерфейс - SQL.
В типовой структуре современной реляционной
СУБД логически можно выделить ядро СУБД,
компилятор языка БД, подсистему поддержки
времени выполнения и набор утилит.
Ядро СУБД отвечает за управление данными
во внешней памяти, управление буферами
оперативной памяти, управление транзакциями и
журнализацию. Соответственно, можно выделить
такие компоненты ядра как менеджер данных,
менеджер буферов, менеджер транзакций и
менеджер журнала. Ядро обладает собственным
интерфейсом, недоступным пользователям, и
является основной резидентной частью СУБД.
52. Понятие Windows Script Host. Создание
сценариев в Windows.
Microsoft Windows Script Host (WSH), в русских
версиях Windows называемый Сервером Сценариев,
представляет собой языконезависимый сервер
(контроллер обработчиков сценариев)
для 32-х
разрядных операционных систем Microsoft Windows.
В состав WSH включены обработчики сценариев
(scripting engines) языков Visual Basic Script и
JavaScript. Другими поставщиками программного
обеспечения могут быть созданы обработчики
сценариев (в виде ActiveX-объектов) для других
языков, таких как
Perl, TCL, REXX, и Python.
Примером может служить обработчик сценариев,
написанных на языке V7Script, включенный фирмой
1С
в
состав
Web-расширения
системы
1С:Предприятие.
Существуют две версии сервера сценариев Windows:
wscript.exe, позволяющая задавать параметры
выполнения сценариев в окне свойств, и cscript.exe,
позволяющая задавать параметры выполнения
сценариев с помощью ключей командной строки.
Чтобы запустить необходимую версию, введите в
командной строке wscript.exe или cscript.exe.
Преимущества, предоставляемые Сервером
Сценариев Windows
Сервер Сценариев Windows (WSH) обеспечивает
возможность запуска сценариев на 32-х разрядных
платформах Windows.
Способы выполнения сценариев Windows
Архитектура ActiveX, реализующая выполнение
сценариев, позволяет использовать такие языки как
VBScript, JavaScript, и Perl. Microsoft в настоящее
время предоставляет возможность выполнять
сценарии на этих языках при помощи трех видов
серверов (контроллеров) на платформе Windows:
Internet Explorer позволяет выполнять сценарии
(обычно на JavaScript), содержащиеся в HTMLстраницах, на клиентских машинах.
Internet
Information
Services
поддерживает
технологию Active Server Pages (ASP), позволяющую
запускать сценарии (как правило, на VB Script), на
Web-серверах. В частности, это используется для
автоматической генерации передаваемых клиенту
через Internet или по внутренней сети страниц.
Сервер Сценариев Windows (WSH) позволяет
выполнять сценарии непосредственно в графическом
окне Windows или в текстовой консоли, при этом нет
необходимости встраивать тексты сценариев в
документ HTML. Сценарии могут быть запущены
напрямую щелчком мыши на файле сценария в
Проводнике Windows либо из командной строки
консоли. WSH не требует много оперативной памяти
и удобен для выполнения задач, не требующих
взаимодействия с пользователем, таких как
написание сценариев входа (logon), для выполнения
административных задач.
Запуск сценариев из командной строки
Для выполнения сценариев с помощью сервера
сценариев для командной строки (cscript.exe)
предусмотрен следующий синтаксис:
cscript [имя_сценария] [параметры_сервера]
[аргументы_сценария]
Здесь:
имя_сценария — имя файла сценария, включая путь
и расширение;
параметры_сервера — ключи командной строки,
задающие различные свойства сервера сценариев
Windows. Параметр сервера всегда начинается с
двух косых черт (//);
аргументы_сценария — ключи командной строки,
которые передаются в сценарий. Аргумент сценария
всегда начинается с одной косой черты (/).
Запуск сценариев с помощью сервера сценариев
для Windows
Способы запустить сценарий в окне Windows:

Двойным щелчком мышью по файлу
или ярлыку в окне "Мой компьютер", "Поиск" или в
окне Проводника Windows;

С использованием команды Windows
"Выполнить..." - вызвать wscript.exe с именем и
параметрами сценария (либо сделать то же самое из
командной строки Windows).
Три способа выполнения каждой задачи
Практически каждая операция в Active Directory выполняется с использованием различных средств.
При этом почти все задачи выполняются как минимум тремя способами:

с помощью одной из утилит с графическим
пользовательским интерфейсом, например, оснастки
ММС;

с использованием одной из утилит с
интерфейсом типа командной строки (например:
dsadd, dsmod, dsrm, dsquery, dsget, nltest, netdom или
ldifde);

программным путем — с помощью
сценария, написанного на VBScript или Perl.
Download
advertisement